Як усунути проблеми з шифруванням жорсткого диска

Зміст:

1. Що таке шифрування жорсткого диска?
2. Апаратне шифрування порівнюється з програмним шифруванням
3. Що таке модуль TPM?
4. Повне шифрування диска (FDE)
5. Що таке BitLocker?
6. Шифрування жорстких дисків FDE розширеного формату 512e (4 K)
7. Жорсткий диск не розпізнається програмним забезпеченням для шифрування
8. Проблеми з попереднім завантаженням
9. Система не завантажиться після додавання стороннього програмного забезпечення для шифрування.
10. Шифрування та перевстановлення операційної системи
11. Загублені паролі або ключ шифрування

1. Що таке шифрування жорсткого диска?

Шифрування жорсткого диска – це процес, під час якого дані на диску або на всьому диску перетворюються на нечитабельний код за допомогою математичних алгоритмів, тому до них не можуть отримати доступ неавторизовані користувачі. Користувач повинен надати пароль, відбиток пальця або смарт-карту, щоб отримати доступ до зашифрованого диска. Шифрування може виконуватися за допомогою програмних або апаратних механізмів. У клієнтському світі ми маємо справу з програмним шифруванням більшу частину часу. Шифрування може бути як на рівні файлу, так і для всього жорсткого диска.

Повернутися до початку

2. Апаратне шифрування в порівнянні з програмним шифруванням

Основна відмінність між програмним та апаратним шифруванням полягає в тому, що головний завантажувальний запис (MBR) не можна зашифрувати за допомогою програмного механізму шифрування. Клієнтські комп'ютери Dell використовують Wave Trusted Drive Manager як частину пакета Dell Data Protection або Dell ControlPoint Security Manager з чіпом TPM для програмного шифрування. Корпоративні клієнти можуть використовувати Dell Data Protection Encryption і модуль DDPE Accelerator, який використовується в слоті на материнській платі за допомогою міні-карти для ноутбуків або PCIe для настільних комп'ютерів. Апаратне шифрування є більш безпечним, оскільки ізолює диск від центрального процесора та операційної системи, роблячи його набагато менш вразливим до атак.

Повернутися до початку

3. Що таке модуль TPM?

Модуль довірчої платформи (TPM) — це криптографічний мікропроцесор на материнській платі, який зберігає та автентифікує ключі шифрування диска, що, у свою чергу, пов'язує диск із комп'ютером. Це означає, що якщо зашифрований диск буде викрадено з комп'ютера та поміщено в інший комп'ютер, він стане недоступним. Мікросхема TPM виконує роль «шлюзу» в накопичувач. Основним недоліком мікросхеми TPM, що використовується в схемі шифрування, є те, що якщо материнська плата вимагає заміни, накопичувач потенційно може бути недоступний користувачеві. Однак Wave Trusted Drive Manager полегшує цю проблему, зберігаючи ключі шифрування також на жорсткому диску. (Це схоже на те, як RAID-масиви не втрачаються при заміні материнської плати. Інформація про масив зберігається на страйпі диска та в RAID-контролері EPROM.

Додаткова інформація: Виправлення неполадок із модулем TPM і засобом BitLocker і їх виправлення

Повернутися до початку

4. Повне шифрування диска (FDE)

Повне шифрування диска просто означає, що можна зашифрувати весь диск (кожен сектор), а не файли, папки або файлові комп'ютери. Жорсткі диски FDE стають стандартом у ноутбуках через підвищену ймовірність крадіжки або втрати комп'ютера. Термін «повне шифрування диска» спочатку був введений компанією Seagate, але зараз є галузевим терміном для всіх жорстких дисків, які можна повністю зашифрувати. Функції безпеки жорстких дисків FDE завжди ввімкнені та діють як звичайний жорсткий диск, доки не будуть впроваджені політики безпеки.

Поширене питання, яке виникає, полягає в тому, чи можна використовувати програмне забезпечення для шифрування Wave Trusted Drive Manager на жорсткому диску, відмінному від FDE, для захисту всього диска. Відповідь полягає в тому, що для Wave Trusted Drive Manager не потрібен диск FDE. Програмні механізми шифрування, такі як Windows BitLocker, можна використовувати для шифрування томів на дисках, відмінних від FDE, за допомогою мікросхеми TPM або USB-носія, але не завантажувального сектора операційної системи жорсткого диска.

Щоб отримати доступ до вмісту повністю зашифрованого жорсткого диска за допомогою Wave Trusted Drive Manager, використовується аутентифікація перед завантаженням, щоб можна було отримати доступ до секторів, що містять операційну систему та дані користувача. На клієнтських комп'ютерах, що використовують DDPA, налаштування автентифікації перед завантаженням виконується програмним забезпеченням Wave у межах DDPA\DCPSM.

Повернутися до початку

5. Що таке BitLocker?

BitLocker – це функція повного шифрування диска, доступна у Windows 7 і доступна лише у випусках Ultimate і Enterprise. Засіб BitLocker To Go можна використовувати для захисту всіх файлів, що зберігаються на знімних носіях даних (наприклад, зовнішніх жорстких дисках або флеш-пам'яті USB).

На відміну від Trusted Drive Manager, ці диски не обов'язково мають бути дисками FDE, але BitLocker може шифрувати лише томи, але не завантажувальний том. Диски, зашифровані за допомогою засобу BitLocker, можна розблокувати за допомогою попереднього завантаження за допомогою пароля або смарт-картки з модулем TPM. Щоб доступ до засобу BitLocker здійснювався за допомогою механізму попереднього завантаження, BIOS повинен мати можливість читати USB-накопичувач під час завантаження, а також два розділи, причому розділ диска комп'ютера має містити принаймні 100 МБ і бути встановленим як активний розділ. Розділ операційної системи зашифровано, а розділ комп'ютера залишається незашифрованим, щоб комп'ютер міг запуститися.

Модуль TPM не потрібен для використання засобу BitLocker, але настійно рекомендується для попереднього завантаження для кращого захисту. Оновлення Windows не потребують вимкнення засобу BitLocker, але інші оновлення можуть вимагати його вимкнення. Як і в інших програмах шифрування, ключі відновлення (PIN-коди) рекомендується зберігати на знімних носіях або в інших безпечних місцях. Якщо користувач не має PIN-коду відновлення, розблокувати диск неможливо. Якщо комп'ютер не може завантажитися, щоб отримати доступ до консолі відновлення BitLocker або жорсткий диск вийшов з ладу, засіб BitLocker Repair Tool можна завантажити та розпакувати на завантажувальний ключ або компакт-диск, щоб відновити дані з диска. Для доступу до даних необхідно мати PIN-код.

Якщо користувач перебуває в домені, який використовує Active Directory, а його адміністратор налаштував засіб BitLocker, можливо, PIN-код збережено в Active Directory , тому зверніться до свого ІТ-відділу.

Додаткова інформація: Виправлення неполадок із модулем TPM і засобом BitLocker і їх виправлення

Повернутися до початку

6. Шифрування жорстких дисків FDE розширеного формату 512e (4 K).

Жорсткий диск 512e (4 K), або розширеного формату, просто означає, що окремі сектори диска змінилися з 512 до 4 096 байт. Перше покоління жорстких дисків розширеного формату досягає цього, беручи 8-512-байтні сектори та об'єднуючи їх в один 4,096-байтовий сектор. У комп'ютерах Dell термін 512e (емуляція) походить від використання механізмів перетворення в прошивці жорсткого диска для імітації зовнішнього вигляду 4096 секторів для застарілих компонентів і програмного забезпечення, яке очікує 512-байтових секторів. Всі читання\запис на жорсткий диск розширеного формату 512e виконуються з кроком 512 байт, але при циклі читання в пам'ять завантажуються всі 4,096. Через це жорсткі диски 512e повинні бути вирівняні. Якщо не виконати розвал-сходження, це може серйозно вплинути на продуктивність приводу. Поточні жорсткі диски, придбані разом із комп'ютером Dell, уже вирівняні.

Щоб визначити, чи є на комп'ютері диск розширеного формату (512e), завантажте засіб виявлення жорсткого диска розширеного формату. 

Вирівнювання розділів необхідне для старих операційних систем і рекомендується для нових операційних систем, щоб забезпечити належну продуктивність жорстких дисків і створення образів між жорсткими дисками різних розмірів секторів.

Вирівнювання диска можна виконати за допомогою кількох інструментів, які можна завантажити з сайту підтримки Dell Drivers & Downloads для вашого комп'ютера в розділі SATA Drives.

Повернутися до початку

7. Жорсткий диск не розпізнається програмним забезпеченням для шифрування.

Для Wave Trusted Drive Manager диск повинен бути диском з повним шифруванням диска (FDE), а операція SATA повинна бути встановлена для ATA\AHCI\IRRT, а не RAID On\RAID. Це може стосуватися сторонніх програм-шифрувальників.

Зверніться до виробника, щоб дізнатися про будь-які вимоги до налаштувань BIOS.

Перевірте вирівнювання диска, якщо використовується образ операційної системи, особливо Windows XP. Перед шифруванням переконайтеся, що до зображення застосовано всі оновлення.

Якщо використовується стороннє програмне забезпечення для шифрування, зверніться до постачальника, щоб переконатися, що воно працює з обладнанням комп'ютера та BIOS Unified Extensible Firmware Interface (UEFI).

Повернутися до початку

8. Проблеми з попереднім завантаженням.

• Якщо у користувача виникають проблеми з автентифікацією перед завантаженням, перевірте, який механізм автентифікації він використовує: Пароль, відбиток пальця або смарт-картка
• Що стосується паролів, переконайтеся, що вони використовують правильний пароль, і перевірте, чи правильно встановлено Cap Lock і Num Lock.
• Якщо ви використовуєте відбитки пальців, переконайтеся, що вони використовують правильний палець і не проводять пальцем надто швидко. Три недійсні свайпи мають викликати запит на введення пароля.
• Для смарт-карток перевірте, чи правильно використовується та вставлено картку, а також перевірте, чи немає пошкоджень. Спробуйте іншу картку, якщо це можливо.
• Якщо ви користуєтеся доменом, переконайтеся, що він не перейшов на локальний вхід. Вони повинні використовувати ті самі облікові дані, що й під час запровадження шифрування.
• Якщо користувач заявляє, що аутентифікація перед завантаженням не працює під час перезавантаження, перевірте BIOS, щоб переконатися, що обхід пароля не ввімкнено. Ця функція не працювала в ранніх випусках BIOS, але з тих пір була виправлена. Переконайтеся, що клієнт використовує останню версію BIOS.
• Якщо користувач втратив пароль або більше не працює, Dell не зможе відновити пароль для шифрування Trusted Drive Manager. Щоб дізнатися більше про програми сторонніх розробників, зверніться до цього постачальника за підтримкою.

Повернутися до початку

9. Система не завантажиться після додавання стороннього програмного забезпечення для шифрування.

Увімкніть комп'ютер, а потім натисніть клавішу F12 під час процесу завантаження, щоб потрапити в меню завантаження BIOS. Може знадобитися багаторазове натискання клавіші під час процесу завантаження, щоб BIOS розпізнав ключ у потрібний час. За допомогою клавіш зі стрілками вгору та вниз виберіть <у меню пункт Діагностика> та натисніть клавішу Enter.

Діагностика розширеної оцінки системи перед завантаженням (ePSA) запускається для того, щоб переконатися, що диск не перебуває в несправному стані та не повідомляє про помилки. Якщо у вас диск розширеного формату (512e), переконайтеся, що диск правильно вирівняно, перш ніж виконувати шифрування.

Зверніться до стороннього постачальника, щоб дізнатися про варіанти відновлення. У більшості компаній є утиліта відновлення, яку користувач може завантажити на завантажувальний ключ або компакт-диск. Крім того, перевірте сайт постачальника на наявність проблем з комп'ютерною платформою, якщо виникнуть проблеми з цим конкретним програмним забезпеченням на цій моделі комп'ютера.

Повернутися до початку

10 Шифрування та перевстановлення операційної системи

Якщо операційна система пошкоджена на зашифрованому жорсткому диску та потребує повторної інсталяції, існує ймовірність, що оскільки жорсткий диск перебуває в заблокованому стані, інсталяційний диск Windows може не розпізнати диск. Для зашифрованих дисків Wave Trusted Drive Manager диск повинен бути розблокований, перш ніж відбудеться перевстановлення операційної системи.

Перегляньте довідкові документи на сайті Wave, які пояснюють, як розблокувати диск перед перевстановленням тут.

Для стороннього програмного забезпечення для шифрування зверніться до постачальника, щоб дізнатися про належну процедуру, перш ніж намагатися повторно інсталювати програму.

Повернутися до початку

11 Загублені паролі або ключ шифрування

Якщо користувач втратив пароль перед завантаженням, ключ шифрування або кінцевий користувач покинув компанію, більшість постачальників програм-шифрувальників надають відмовостійкий механізм для відновлення. Відповідно до стандартних галузевих політик щодо даних, механізм відновлення має бути ініційований клієнтом. Це робиться шляхом збереження пароля\ключа на знімний носій або мережеве розташування. Якщо було реалізовано повне шифрування диска і користувач втратив пароль\ключ, Dell не зможе допомогти йому відновити пароль\ключ для диска. У цьому випадку користувачеві потрібна заміна жорсткого диска. Ця проблема виходить за рамки гарантії, оскільки шифрування працює належним чином і захищає дані від вторгнення. Заміна накопичувача буде за рахунок користувача. Wave може допомогти у вирішенні проблем з іменем користувача. Користувач повинен мати свій пароль для Wave, щоб допомогти з забутим ім'ям користувача. Якщо користувач забув, втратив або не має пароля, на жаль, Wave не може допомогти.

Якщо наведені вище кроки не допомогли вирішити проблему, зверніться по допомогу до служби технічної підтримки Dell .

Повернутися до початку

Рекомендовані статті

Ось кілька рекомендованих статей, пов'язаних з цією темою, які можуть вас зацікавити.

• Системні вимоги Dell Full Disk Encryption
• Опція BIOS для встановлення пароля жорсткого диска на твердотільному накопичувачі M.2
• Автоматичне шифрування пристроїв Windows або BitLocker на комп'ютерах Dell