La crittografia del disco rigido è un processo in cui i dati sul disco o sull'intera unità vengono convertiti in codice illeggibile utilizzando algoritmi matematici, in modo che non sia possibile accedervi da parte di utenti non autorizzati. L'utente deve fornire una password, un'impronta digitale o una smart card per accedere a un'unità crittografata. La crittografia può essere eseguita tramite meccanismi software o hardware. Nel mondo dei client, la crittografia software è all'ordine del giorno. La crittografia può essere a livello di file o per l'intero disco rigido.
La differenza principale tra la crittografia software e hardware consiste nel fatto che il record di avvio principale (MBR) non può essere crittografato utilizzando un meccanismo di crittografia software. I computer client Dell utilizzano Wave Trusted Drive Manager come parte della suite Dell Data Protection o Dell ControlPoint Security Manager con il chip TPM per la crittografia basata su software. I clienti di livello enterprise possono utilizzare Dell Data Protection Encryption e un modulo acceleratore DDPE che viene utilizzato in uno slot sulla scheda madre utilizzando la scheda mini per i notebook o una scheda PCIe per computer desktop. La crittografia hardware è più sicura perché isola l'unità dalla CPU e dal sistema operativo, rendendola molto meno vulnerabile agli attacchi.
Un Trusted Platform Module (TPM) è un microprocessore crittografico sulla scheda madre che memorizza e autentica le chiavi di crittografia per l'unità, che a sua volta collega l'unità al computer. Ciò significa che se l'unità crittografata viene rubata dal computer e inserita in un altro computer, l'unità non può essere accessibile. Il chip TPM funge da "gateway" nell'unità. Lo svantaggio principale del chip TPM utilizzato in uno schema di crittografia è che, se la scheda madre richiede la sostituzione, l'unità potrebbe potenzialmente non essere più accessibile all'utente. Tuttavia, Wave Trusted Drive Manager allevia questo problema conservando sul disco rigido anche le chiavi di crittografia, in modo analogo agli array RAID che non vengono persi quando viene sostituita una scheda madre. Le informazioni sugli array vengono conservate sulla stripe dell'unità e nella memoria EPROM del controller RAID.
Ulteriori informazioni: Come identificare e risolvere i problemi più comuni con il TPM e BitLocker
La crittografia completa del disco significa semplicemente che l'intera unità (ogni settore) può essere crittografata al posto dei file, delle cartelle o dei file computer. I dischi rigidi FDE stanno diventando lo standard nei notebook a causa della maggiore probabilità di furto o smarrimento del computer. Il termine "full disk encryption" è originariamente coniato da Seagate, ma ora è un termine di settore per tutti i dischi rigidi che possono essere completamente crittografati. Le funzionalità di protezione dei dischi rigidi FDE sono sempre attive e analoghe a quelle di un normale disco rigido finché non vengono implementate policy di sicurezza.
Una domanda comune che si pone è se il software di crittografia Wave Trusted Drive Manager può essere utilizzato su un disco rigido non FDE per proteggere l'intero disco. La risposta è che nessun Wave Trusted Drive Manager richiede un'unità FDE. I meccanismi di crittografia software, come Windows BitLocker, possono essere utilizzati per crittografare i volumi su unità non FDE utilizzando il chip TPM o un'unità USB, ma non il bootstrap (settore di avvio) del sistema operativo del disco rigido.
Per accedere ai contenuti di un disco rigido completamente crittografato da Wave Trusted Drive Manager, si utilizza l'autenticazione preavvio in modo che sia possibile accedere ai settori del disco rigido che contengono il sistema operativo e i dati dell'utente. Sui computer client che utilizzano DDPA, la configurazione dell'autenticazione di preavvio viene gestita dal software Wave all'interno di DDPA\DCPSM.
BitLocker è una funzionalità di crittografia completa dei dischi disponibile in Windows 7 solo nelle edizioni Ultimate ed Enterprise. È possibile utilizzare BitLocker To Go per semplificare la protezione di tutti i file archiviati su unità dati rimovibili (come dischi rigidi esterni o unità flash USB).
A differenza di Trusted Drive Manager, queste unità non devono essere unità FDE, ma BitLocker può crittografare solo i volumi ma non il volume di avvio. Le unità crittografate con BitLocker possono essere sbloccate tramite preavvio utilizzando una password o una smart card con TPM. Affinché BitLocker sia accessibile tramite un meccanismo di preavvio, il BIOS deve essere in grado di leggere un'unità USB all'avvio ed è necessario che siano presenti due partizioni; la partizione dell'unità del computer è di almeno 100 MB e impostata come partizione attiva. La partizione del sistema operativo è crittografata e la partizione del computer rimane non crittografata in modo che il computer possa avviarsi.
TPM non è richiesto per l'utilizzo di BitLocker, ma è altamente consigliato per il preavvio per una migliore sicurezza. Gli aggiornamenti di Windows non richiedono la disabilitazione di BitLocker, ma altri aggiornamenti potrebbero richiederne la disabilitazione. Analogamente ad altre applicazioni di crittografia, si consiglia di memorizzare le chiavi di ripristino (PIN) su supporti rimovibili o in altre posizioni sicure. Se l'utente non dispone del PIN di ripristino, non è possibile sbloccare l'unità. Se il computer non è in grado di eseguire l'avvio per accedere alla console di ripristino di BitLocker o se il disco rigido non è riuscito, è possibile scaricare ed estrarre BitLocker Repair Tool su una chiave di avvio o su un CD per ripristinare i dati dall'unità. È necessario disporre del PIN per accedere ai dati.
Se l'utente si trova in un dominio che utilizza Active Directory e l'amministratore ha configurato BitLocker, è possibile che il pin sia stato memorizzato in Active Directory in modo che possa verificare con il proprio dipartimento IT.
Ulteriori informazioni: Come identificare e risolvere i problemi più comuni con il TPM e BitLocker
Un disco rigido da 512e (4 K) o formato avanzato significa semplicemente che i singoli settori dell'unità sono cambiati da 512 a 4.096 byte. La prima generazione di dischi rigidi di formato avanzato consente di raggiungere questo obiettivo prendendo 8 settori da 512 byte e combinandoli in un unico settore da 4.096 byte. Nei computer Dell, il termine 512e (emulazione) deriva dall'utilizzo di meccanismi di conversione all'interno del firmware del disco rigido per simulare l'aspetto di 4.096 settori per i componenti legacy e il software che si aspettano settori da 512 byte. Tutte le operazioni di lettura/scrittura su un disco rigido 512e di formato avanzato vengono eseguite in incrementi di 512 byte, ma in un ciclo di lettura, l'intero 4.096 viene caricato in memoria. I dischi rigidi 512e devono essere allineati per questo motivo. Se l'allineamento delle unità non viene eseguito, le prestazioni dell'unità possono subire importanti ripercussioni. I dischi rigidi attuali acquistati con un computer Dell sono già allineati.
Per rilevare se il computer dispone di un'unità Advanced Format (512e), scaricare lo strumento di rilevamento del disco rigido Advanced Format.
L'allineamento delle partizioni è richiesto per i sistemi operativi meno recenti ed è consigliato per i nuovi sistemi operativi al fine di garantire prestazioni appropriate del disco rigido e imaging tra HDD di diverse dimensioni di settore.
L'allineamento delle unità può essere eseguito utilizzando diversi strumenti che possono essere scaricati dal sito di supporto Dell Driver e download per il computer in uso nella sezione Unità SATA.
Per Wave Trusted Drive Manager, l'unità deve essere di tipo Full Drive Encryption (FDE) e l'opzione SATA Operation deve essere impostata per ATA\AHCI\IRRT e non RAID On\RAID, Ciò potrebbe verificarsi con i programmi di crittografia di terze parti.
Rivolgersi al fornitore per eventuali requisiti di impostazione del BIOS.
Verificare l'allineamento delle unità in caso di utilizzo di un'immagine del sistema operativo, in particolare Windows XP. Accertarsi che tutti gli aggiornamenti siano stati applicati all'immagine prima della crittografia.
Se è in uso un software di crittografia di terze parti, rivolgersi al fornitore per assicurarsi che il software sia compatibile con l'hardware del computer e con il BIOS UEFI (Unified Extensible Firmware Interface).
Accendere il computer, quindi premere il tasto F12 durante il processo di avvio per accedere al menu di avvio del BIOS. Potrebbe essere necessario premere ripetutamente il tasto durante il processo di avvio affinché il BIOS lo riconosca al momento giusto. Utilizzare i tasti freccia su e giù per selezionare <Diagnostics (Diagnostica> ) nel menu e premere il tasto Invio.
La diagnostica ePSA (Enhanced Preboot System Assessment) viene eseguita per garantire che l'unità non sia in uno stato di errore e non abbia segnalato alcun errore. Se si dispone di un'unità Advanced Format (512e), accertarsi che sia allineata correttamente prima di eseguire la crittografia.
Rivolgersi al vendor di terze parti per informazioni sulle opzioni di ripristino. La maggior parte delle aziende dispone di un'utilità di ripristino che l'utente può caricare su una chiavetta o un CD di avvio. Inoltre, controllare il sito del fornitore per i problemi relativi alla piattaforma del computer nel caso in cui si verifichino problemi con questo particolare software su questo modello di computer.
Se il sistema operativo si danneggia su un disco rigido crittografato e richiede la reinstallazione, se il disco rigido è bloccato, il disco di installazione di Windows potrebbe non essere in grado di riconoscere l'unità. Per le unità crittografate con Wave Trusted Drive Manager, l'unità deve essere sbloccata prima di poter reinstallare il sistema operativo.
Consultare i documenti di supporto sul sito Wave che spiegano come sbloccare l'unità prima di una reinstallazione qui.
Per il software di crittografia di terze parti, verificare con il fornitore la procedura corretta prima di tentare la reinstallazione.
Se un utente ha perso la password di preavvio, la chiave di crittografia o un utente finale ha lasciato l'azienda, la maggior parte di tutti i vendor di applicazioni di crittografia fornisce un meccanismo failsafe per il ripristino. A causa delle policy dei dati standard di settore, il meccanismo di ripristino deve essere avviato dal cliente. Questa operazione viene eseguita salvando la password\chiave nel dispositivo di archiviazione rimovibile o nel percorso di rete. Se è stata implementata la crittografia completa del disco e l'utente ha perso la password\chiave, Dell non può aiutarlo a ripristinare la password\chiave per l'unità. L'utente richiede un disco rigido sostitutivo in questa istanza. Questo problema non rientra nell'ambito della garanzia poiché la crittografia funziona come previsto e protegge i dati da intrusioni. La sostituzione dell'unità è quindi a carico dell'utente. Wave è in grado di risolvere i problemi relativi al nome utente. L'utente deve disporre della password per Wave per ricevere assistenza in relazione a un nome utente dimenticata. Se l'utente ha dimenticato, perso o non ha la password, purtroppo Wave non può aiutarti.
Se la procedura precedente non risolve il problema, contattare il supporto tecnico Dell per ricevere assistenza.
Di seguito sono riportati alcuni articoli consigliati correlati a questo argomento che potrebbero essere di interesse per l'utente.