硬盘加密是使用数学算法将硬盘上的数据或整个硬盘转换为不可读代码的过程,以防止未经授权用户的访问。用户必须提供密码、指纹或智能卡才能访问加密驱动器。可以通过软件或硬件机制的方法进行加密。在客户端领域,我们大部分时间都在处理软件加密。加密可以是文件级,也可以是针对整个硬盘。
软件加密和硬件加密的主要区别在于,无法使用软件加密机制对主引导记录(MBR)进行加密。Dell 客户端计算机使用 Wave Trusted Drive Manager 作为 Dell Data Protection 或 Dell ControlPoint Security Manager 套件的一部分,使用 TPM 芯片进行基于软件的加密。企业客户可以使用 Dell Data Protection Encryption 和 DDPE Accelerator 模块,该模块在主板上的插槽中使用,使用适用于笔记本电脑的微型卡或适用于台式计算机的 PCIe 卡。硬件加密更安全,因为它将驱动器与 CPU 和操作系统隔离开来,使其更容易受到攻击。
可信平台模块 (TPM) 是主板上的加密微处理器,用于存储和验证驱动器的加密密钥,进而将驱动器连接到计算机。这意味着,如果加密驱动器从计算机中被盗并放置在另一台计算机中,则无法访问该驱动器。TPM 芯片用作硬盘的“网关”。加密方案中使用的 TPM 芯片的主要缺点是,如果主板需要更换,则用户可能无法再访问该驱动器。但是,Wave Trusted Drive Manager通过保留硬盘上的密钥,缓解了这一问题。(这就类似于更换主板时不丢失RAID阵列。阵列信息保存在硬盘磁条和RAID控制器EPROM中。)
详细信息:如何对 TPM 和 BitLocker 常见问题进行故障处理以及解决这些常见问题
完整磁盘加密只是意味着可以对整个驱动器(每个扇区)进行加密,而不是对文件、文件夹或文件计算机进行加密。由于计算机失窃或丢失的可能性增加,FDE 硬盘正在成为笔记本电脑的标准。术语“全磁盘加密”最初由 Seagate 创造,但现在是可完全加密的所有硬盘的行业术语。FDE硬盘的安全功能始终为打开状态,除非实施安全策略,否则将用作普通硬盘。
出现的一个常见问题是,是否可以在非 FDE 硬盘上使用 Wave Trusted Drive Manager 加密软件来保护整个磁盘。答案是,没有 Wave Trusted Drive Manager 需要 FDE 驱动器。软件加密机制(如 Windows BitLocker)可用于使用 TPM 芯片或 USB 驱动器对非 FDE 驱动器上的卷进行加密,但不能对硬盘的操作系统 bootstrap(引导扇区)进行加密。
要访问由Wave Trusted Drive Manager完全加密的硬盘上的内容,可使用预启动验证,以便能够访问包含操作系统和用户数据的扇区。在使用 DDPA 的客户端计算机上,预引导身份验证设置由 DDPA\DCPSM 中的 Wave 软件处理。
BitLocker是Windows7中提供的全磁盘加密功能,仅可在旗舰版和企业版中使用。您可以使用BitLocker To Go帮助保护可移动数据驱动器(例如外部硬盘或USB闪存驱动器)上存储的所有文件。
与受信任的驱动器管理器不同,这些驱动器不需要是 FDE 驱动器,但 BitLocker 只能加密卷,而不能加密引导卷。使用 BitLocker 加密的驱动器可以通过预启动通过使用密码或带 TPM 的智能卡解锁。要通过预启动机制访问 BitLocker,BIOS 必须能够在启动时读取 USB 驱动器,并且必须存在两个分区,其中计算机驱动器分区至少为 100 MB,并设置为活动分区。操作系统分区已加密,并且计算机分区保持未加密状态,以便计算机可以启动。
使用 BitLocker 不需要 TPM,但强烈建议在启动前使用 TPM,以获得更好的安全性。Windows 更新不需要禁用 BitLocker,但其他更新可能需要禁用它。与其他加密应用程序一样,建议将恢复密钥 (PIN) 存储在可移动介质或其他安全位置。如果用户没有恢复PIN,则无法解锁该硬盘。如果计算机无法引导以进入 BitLocker 恢复控制台,或者硬盘出现故障,则可以下载 BitLocker 修复工具并将其解压到可引导密钥或 CD,以从驱动器恢复数据。您必须有PIN才能访问数据。
如果用户使用 Active Directory 及其管理员设置 BitLocker 在域中,则插针可能存储在 Active Directory 中,因此请他们与 IT 部门核实。
详细信息:如何对 TPM 和 BitLocker 常见问题进行故障处理以及解决这些常见问题
512e (4 K) 或高级格式硬盘表示驱动器的各个扇区已从 512 字节更改为 4,096 字节。第一代高级格式硬盘驱动器采用 8-512 字节扇区,并将其组合为单个 4,096 字节扇区,从而实现这一目标。在戴尔计算机中,术语 512e(模拟)来自使用硬盘固件内的转换机制来模拟传统组件和软件的 4,096 扇区外观,预计扇区为 512 字节。对高级格式 512e 硬盘驱动器的所有读取\写入均以 512 字节为增量完成,但在读取周期中,整个 4,096 将加载到内存中。因此,必须对齐512e硬盘。如果没有执行硬盘对齐,则硬盘的性能会受到严重影响。随戴尔计算机一起购买的当前硬盘驱动器已对齐。
要检测您的计算机是否具有高级格式 (512e) 驱动器,请下载 Advanced Format 硬盘检测工具。
较旧的操作系统需要分区对齐,建议用于新的操作系统,以确保不同扇区大小的硬盘驱动器之间的正确硬盘性能和映像。
驱动器对齐可使用多个工具完成,这些工具可从 戴尔支持站点 驱动程序和下载 中 SATA 驱动器 部分下的您的计算机下载。
对于Wave Trusted Drive Manager,硬盘必须是全磁盘加密(FDE)硬盘,且必须将“SATA操作”设置为ATA\AHCI\IRRT,而不是RAID On\RAID。第三方加密程序的情况可能如此。
请咨询供应商,以了解BIOS设置要求。
如果使用的是操作系统映像,尤其是Windows XP,请检查硬盘对齐。确保已将所有更新应用到映像,然后再进行加密。
如果正在使用第三方加密软件,请与供应商联系,以确保软件与计算机中的硬件以及统一可扩展固件接口 (UEFI) BIOS 配合使用。
打开计算机电源,然后在引导过程中按 F12 键以进入 BIOS 引导菜单。您可能需要在启动期间反复按下按键,以便使BIOS在正确时间识别按键。使用向上和向下箭头键选择 <菜单上的 Diagnostics> (诊断程序),然后按 Enter 键。
运行增强型启动前系统评估诊断程序 (ePSA),以确保驱动器未处于故障状态,并且未报告任何错误。如果您有高级格式 (512e) 驱动器,请确保在执行加密之前正确对齐驱动器。
请与第三方供应商确认恢复选项。大多数公司都有恢复实用程序,用户可将其加载到可引导密钥或光盘上。此外,检查供应商站点中的计算机平台问题,以防此计算机型号上的此特定软件存在任何问题。
如果加密硬盘上的操作系统损坏并且需要重新安装,则可能出现这样一种情况,由于硬盘处于锁定状态,因此Windows安装盘可能无法识别该硬盘。对于使用Wave Trusted Drive Manager加密的硬盘,重新安装操作系统前,必须解锁该硬盘。
请参阅 Wave 站点上的支持文档,说明如何在重新安装之前解锁 驱动器 此处 。
对于第三方加密软件,请先与供应商确认正确的过程,然后再尝试重新安装。
如果用户丢失了预引导密码、加密密钥或终端用户已离开公司,大多数加密应用程序供应商都提供故障保护机制进行恢复。由于行业标准数据策略,恢复机制必须由客户启动。这是通过将密码\密钥保存到可移动存储或网络位置来实现的。如果实施了完整磁盘加密,并且用户丢失了密码\密钥,则戴尔无法帮助他们恢复驱动器的密码\密钥。在此实例中,用户需要更换硬盘。此问题不在保修范围内,因为加密按设计运行,可保护数据免遭入侵。更换驱动器将由用户承担费用。Wave 可以帮助解决用户名问题。用户必须拥有其密码,以便 Wave 帮助使用忘记的用户名。遗憾的是,如果用户忘记、丢失或没有密码,Wave 将无法提供帮助。
如果以上步骤未解决此问题,请致电戴尔技术支持以获得帮助。
以下是您可能会感兴趣的与此主题相关的一些推荐文章。