Jak rozwiązać problemy z szyfrowaniem dysku twardego

Spis treści:

1. Co to jest szyfrowanie dysku twardego?
2. Szyfrowanie sprzętowe w porównaniu z szyfrowaniem oprogramowania
3. Co to jest moduł TPM?
4. Pełne szyfrowanie dysku (FDE)
5. Co to jest funkcja BitLocker?
6. Szyfrowanie dysków twardych FDE zaawansowanego formatu 512e (4K)
7. Dysk twardy nierozpoznawany przez oprogramowanie szyfrujące
8. Problemy z rozruchem wstępnym
9. System nie uruchamia się po dodaniu oprogramowania s szyfrowania innej firmy.
10. Szyfrowanie i ponowna instalacja systemu operacyjnego
11. Utracone hasła lub klucz szyfrowania

1. Co to jest szyfrowanie dysku twardego?

Szyfrowanie dysku twardego to proces, podczas którego dane na dysku lub cały dysk jest konwertowany do kodu niemożliwego do odczytania za pomocą algorytmów matematycznych, dzięki czemu nieuprawnieni użytkownicy nie mają dostępu do tych danych. Aby uzyskać dostęp do zaszyfrowanego dysku, użytkownik musi podać hasło, odcisk palca lub kartę inteligentną. Szyfrowanie można wykonać za pomocą sprzętu lub oprogramowania. W świecie klientów zajmujemy się głównie szyfrowaniem programowym. Szyfrowanie może odbywać się na poziomie plików lub dla całego dysku twardego.

Powrót do góry

2. Porównanie szyfrowania sprzętowego z szyfrowaniem oprogramowania

Zasadnicza różnica między szyfrowaniem sprzętowym a szyfrowaniem programowym jest taka, że głównego rekordu rozruchowego (MBR) nie można zaszyfrować za pomocą mechanizmu szyfrowania programowego. Komputery klienckie firmy Dell wykorzystują oprogramowanie Wave Trusted Drive Manager jako część pakietu Dell Data Protection lub Dell ControlPoint Security Manager z układem TPM do szyfrowania opartego na oprogramowaniu. Klienci biznesowi mogą korzystać z oprogramowania Dell Data Protection Encryption i modułu akceleratora DDPE, który jest używany w gnieździe na płycie głównej przy użyciu mini karty do notebooków lub karty PCIe w komputerach stacjonarnych. Szyfrowanie sprzętowe jest bezpieczniejsze, ponieważ izoluje dysk od procesora i systemu operacyjnego, co sprawia, że jest on znacznie mniej narażony na ataki.

Powrót do góry

3. Co to jest moduł TPM?

Moduł TPM (Trusted Platform Module) to kryptograficzny mikroprocesor na płycie głównej, który przechowuje i uwierzytelnia klucze szyfrowania dysku, co z kolei wiąże dysk z komputerem. Oznacza to, że jeśli zaszyfrowany dysk zostanie skradziony z komputera i umieszczony w innym komputerze, dysk nie będzie dostępny. Układ TPM pełni rolę „bramki” do napędu. Główną wadą układu TPM używanego w schemacie szyfrowania jest to, że jeśli płyta główna wymaga wymiany, dysk może nie być już dostępny dla użytkownika. Program Wave Trusted Drive Manager pozwala jednak zapobiegać temu problemowi, przechowując na dysku twardym również klucze szyfrowania. (Podobnie jak macierze RAID nie są tracone po wymianie płyty głównej. Informacje o macierzy są przechowywane na pasku dysku i w kontrolerze RAID EPROM).

Więcej informacji: Sposób identyfikowania i rozwiązywania najczęściej występujących problemów z modułem TPM i funkcją BitLocker

Powrót do góry

4. Pełne szyfrowanie dysku (FDE)

Pełne szyfrowanie dysku oznacza po prostu, że cały dysk (każdy sektor) można zaszyfrować zamiast plików, folderów lub komputerów z plikami. Dyski twarde FDE stają się standardem w notebookach ze względu na zwiększone ryzyko kradzieży lub utraty komputera. Termin "pełne szyfrowanie dysków" został pierwotnie pastylowany przez firmę Seagate, ale jest obecnie branżowym określeniem wszystkich dysków twardych, które można w pełni zaszyfrować. Funkcje zabezpieczeń dysków FDE są zawsze włączone, a dysk działa jak zwykły dysk twardy do momentu wdrożenia zasad zabezpieczeń.

Często zadawane pytanie brzmi, czy oprogramowanie szyfrujące Wave Trusted Drive Manager może być używane na dysku twardym innego niż FDE w celu zabezpieczenia całego dysku. Odpowiedź brzmi: żaden program Wave Trusted Drive Manager nie wymaga dysku FDE. Mechanizmy szyfrowania oprogramowania, takie jak Windows BitLocker, mogą być używane do szyfrowania woluminów na dyskach innych niż FDE przy użyciu układu TPM lub dysku USB, ale nie sektora rozruchowego systemu operacyjnego dysku twardego.

Aby uzyskać dostęp do zawartości w pełni szyfrowanego dysku twardego przez program Wave Trusted Drive Manager, używane jest uwierzytelnianie rozruchu wstępnego, dzięki czemu sektory zawierające system operacyjny i dane użytkownika są dostępne. W przypadku komputerów klienckich korzystających z DDPA konfiguracja uwierzytelniania rozruchu wstępnego jest obsługiwana przez oprogramowanie Wave w DDPA\DCPSM.

Powrót do góry

5. Co to jest funkcja BitLocker?

BitLocker to funkcja pełnego szyfrowania dysku dostępna w systemie Windows 7 i jest dostępna tylko w wersjach Ultimate i Enterprise. Funkcja BitLocker To Go ułatwia ochronę wszystkich plików przechowywanych na wymiennych dyskach danych (takich jak zewnętrzne dyski twarde lub dyski flash USB).

W przeciwieństwie do programu Trusted Drive Manager, dyski te nie muszą być dyskami FDE, ale funkcja BitLocker może szyfrować tylko woluminy, ale nie wolumin rozruchowy. Dyski zaszyfrowane za pomocą funkcji BitLocker można odblokować przed rozruchem przy użyciu hasła lub karty SmartCard z modułem TPM. Aby uzyskać dostęp do funkcji BitLocker za pomocą mechanizmu rozruchu wstępnego, system BIOS musi być w stanie odczytać dysk USB podczas rozruchu, a dwie partycje muszą być obecne, a partycja dysku komputera musi wynosić co najmniej 100 MB i być ustawiona jako aktywna partycja. Partycja systemu operacyjnego jest zaszyfrowana, a partycja komputera pozostaje nieszyfrowana, aby można było uruchomić komputer.

Moduł TPM nie jest wymagany do korzystania z funkcji BitLocker, ale jest zdecydowanie zalecany do rozruchu wstępnego w celu poprawy bezpieczeństwa. Aktualizacje systemu Windows nie wymagają wyłączenia funkcji BitLocker, ale inne aktualizacje mogą wymagać jej wyłączenia. Podobnie jak w innych aplikacjach szyfrujących zaleca się przechowywanie kluczy odzyskiwania (PIN) na nośnikach wymiennych lub innych bezpiecznych lokalizacjach. Jeśli użytkownik utraci kod PIN odzyskiwania, nie będzie innego sposobu na odblokowanie dysku. Jeśli komputer nie może uruchomić się w celu uzyskania dostępu do konsoli odzyskiwania funkcji BitLocker lub dysk twardy uległ awarii, narzędzie naprawcze BitLocker można pobrać i wyodrębnić na klucz rozruchowy lub dysk CD w celu odzyskania danych z dysku. Aby uzyskać dostęp do danych, konieczny jest kod PIN.

Jeśli użytkownik znajduje się w domenie korzystającej z usługi Active Directory i konfiguracji funkcji BitLocker przez administratora, istnieje możliwość, że kod PIN został zapisany w usłudze Active Directory, więc należy skontaktować się z działem IT.

Więcej informacji: Sposób identyfikowania i rozwiązywania najczęściej występujących problemów z modułem TPM i funkcją BitLocker

Powrót do góry

6. Szyfrowanie dysków twardych FDE zaawansowanego formatu 512e (4K).

Dysk twardy 512e (4K) oznacza, że poszczególne sektory dysku zmieniły się z 512 na 4096 bajtów. Pierwsza generacja dysków twardych zaawansowanego formatu osiąga to poprzez wykorzystanie sektorów 8-512-bajtowych i połączenie ich w jeden sektor 4096-bajtowy. W komputerach firmy Dell termin 512e (emulacja) jest oparty na mechanizmach konwersji w oprogramowaniu wewnętrznym dysku twardego w celu symulacji wyglądu sektora 4096 dla starszych komponentów i oprogramowania, które oczekują sektorów 512-bajtowych. Wszystkie operacje odczytu/zapisu na dysku twardym zaawansowanego formatu 512e są wykonywane w przyrostach 512-bajtowych, ale w cyklu odczytu cały dysk twardy 4096 jest ładowany do pamięci. Z tego powodu dyski twarde 512e muszą zostać wyrównane. Brak wyrównywania dysku może mieć istotny wpływ na wydajność dysku. Aktualne dyski twarde zakupione wraz z komputerem firmy Dell są już wyrównane.

Aby sprawdzić, czy komputer jest wyposażony w dysk zaawansowanego formatu (512e), pobierz narzędzie Do wykrywania dysków twardych zaawansowanego formatu. 

Wyrównanie partycji jest wymagane w przypadku starszych systemów operacyjnych i jest zalecane w przypadku nowych systemów operacyjnych w celu zapewnienia prawidłowej wydajności dysku twardego i obrazowania między dyskami twardymi o różnych rozmiarach sektorów.

Wyrównywanie dysku można przeprowadzić przy użyciu kilku narzędzi, które można pobrać z witryny pomocy technicznej firmy Dell : Sterowniki i pliki do pobrania dla komputera w sekcji Napędy SATA.

Powrót do góry

7. Dysk twardy nierozpoznawany przez oprogramowanie szyfrujące

Aby można było skorzystać z oprogramowania Wave Trusted Drive Manager, dysk musi być dyskiem FDE, natomiast działanie dysku SATA musi być ustawione na ATA\AHCI\IRRT, a nie RAID on RAID. Może to mieć miejsce w przypadku programów s szyfrowania innych firm.

Skontaktuj się ze sprzedawcą, aby uzyskać informacje na temat wymaganej konfiguracji systemu BIOS.

Sprawdź również wyrównanie dysku, jeśli używany jest obraz systemu operacyjnego, zwłaszcza systemu Windows XP. Przed szyfrowaniem upewnij się, że wszystkie aktualizacje zostały zastosowane do obrazu.

Jeśli używane jest oprogramowanie szyfrujące innych firm, skontaktuj się z dostawcą, aby upewnić się, że oprogramowanie działa ze sprzętem w komputerze oraz systemem BIOS UEFI (Unified Extensible Firmware Interface).

Powrót do góry

8. Problemy z rozruchem wstępnym.

• Jeśli występują problemy z uwierzytelnianiem rozruchu wstępnego, sprawdź, z którego mechanizmu uwierzytelniania korzysta: Hasło, odcisk palca lub karta smart
• W przypadku haseł upewnij się, że korzystasz z prawidłowego hasła i sprawdź, czy blokada Cap Lock i Num Lock są prawidłowo ustawione.
• W przypadku korzystania z odcisków palców upewnij się, że używasz właściwego palca i czy nie są one przesuwane zbyt szybko. Trzy nieprawidłowe przesunięcia powinny wywołać monit o hasło.
• W przypadku kart Smart Card upewnij się, że używana jest prawidłowa karta, prawidłowo włożona i sprawdź, czy nie ma uszkodzeń. Jeśli to możliwe, spróbuj użyć innej karty.
• W przypadku domeny upewnij się, że nie zostały przełączone na logowanie lokalne. Muszą korzystać z tych samych poświadczeń, co w momencie szyfrowania.
• Jeśli użytkownik stwierdzi, że uwierzytelnianie rozruchu wstępnego nie działa po ponownym uruchomieniu komputera, sprawdź w systemie BIOS, czy opcja pomijania hasła nie jest włączona. Funkcja ta nie działała we wczesnych wersjach systemu BIOS, ale została naprawiona. Upewnij się, że klient korzysta z najnowszej wersji systemu BIOS.
• Jeśli użytkownik utracił hasło lub nie jest już zatrudniony, nie ma sposobu na odzyskanie hasła szyfrowania oprogramowania Trusted Drive Manager. W przypadku aplikacji innych firm zapoznaj się z tym dostawcą, aby uzyskać pomoc techniczną.

Powrót do góry

9. System nie uruchamia się po dodaniu oprogramowania s szyfrowania innej firmy.

Włącz komputer, a następnie naciśnij klawisz F12 podczas procesu rozruchu, aby przejść do menu rozruchu systemu BIOS. Konieczne może być wielokrotne naciskanie klawisza podczas procesu uruchamiania, aby system BIOS rozpoznał klawisz w odpowiednim momencie. Za pomocą klawiszy strzałek w górę i w dół wybierz opcję <Diagnostics> w menu i naciśnij klawisz Enter.

Diagnostyka Enhanced Preboot System Assessment (ePSA) jest uruchamiana w celu upewnienia się, że dysk nie uległ awarii i nie zgłosił żadnych błędów. Jeśli posiadasz dysk zaawansowanego formatu (512e), przed wykonaniem szyfrowania upewnij się, że dysk jest prawidłowo wyrównany.

W celu uzyskania opcji odzyskiwania należy skontaktować się z dostawcą zewnętrznego. Większość producentów zapewnia narzędzie do odzyskiwania, które użytkownik może wgrać na dysk rozruchową lub CD. W przypadku jakichkolwiek problemów z tym oprogramowaniem na tym modelu komputera należy także sprawdzić witrynę dostawcy pod kątem problemów z platformą komputerową.

Powrót do góry

10 Szyfrowanie i ponowna instalacja systemu operacyjnego

Jeśli system operacyjny ulegnie uszkodzeniu na zaszyfrowanym dysku twardym i będzie wymagać ponownej instalacji, istnieje możliwość, że z powodu stanu zablokowania dysku twardego dysk instalacyjny systemu Windows nie wykryje napędu. W przypadku dysków zaszyfrowanych za pomocą oprogramowania Wave Trusted Drive Manager dysk musi zostać odblokowany, zanim można będzie przeprowadzić ponowną instalację systemu operacyjnego.

Zapoznaj się z dokumentami pomocy technicznej w witrynie Wave, które wyjaśniają, jak odblokować dysk przed ponowną instalacją tutaj.

W przypadku oprogramowania do szyfrowania innego producenta przed przystąpieniem do ponownej instalacji należy skontaktować się z dostawcą w celu uzyskania odpowiedniej procedury.

Powrót do góry

11 utraconych haseł lub klucza szyfrowania

Jeśli użytkownik utracił hasło przedrozruchowe, klucz szyfrowania lub użytkownik końcowy opuścił firmę, większość dostawców aplikacji szyfrujących zapewnia awaryjny mechanizm odzyskiwania. Ze względu na obowiązujące w branży standardowe zasady postępowania w zakresie danych mechanizm odzyskiwania danych musi zostać zainicjowany przez klienta. Odbywa się to poprzez zapisanie hasła\klucza w wymiennej pamięci masowej lub w lokalizacji sieciowej. Jeśli wdrożono pełne szyfrowanie dysku, a użytkownik zgubił hasło\klucz, firma Dell nie może pomóc w odzyskaniu hasła\klucza dysku. W tym przypadku użytkownik wymaga wymiany dysku twardego. Ten problem nie jest objęty gwarancją, ponieważ szyfrowanie działa zgodnie z założeniami i chroni dane przed atakiem. Wymiana dysku odbędzie się na koszt użytkownika. Firma Wave może pomóc w rozwiązywaniu problemów z nazwą użytkownika. Aby firmaWave mogła pomóc w uzyskaniu zapomnianej nazwy użytkownika, użytkownik musi mieć hasło. Jeśli użytkownik zapomni, zgubił lub nie ma hasła, niestety, wave nie może pomóc.

Jeśli wykonanie powyższych czynności nie rozwiązało problemu, skontaktuj się z działem pomocy technicznej firmy Dell.

Powrót do góry

Polecane artykuły

Poniżej przedstawiono niektóre polecane artykuły dotyczące tego tematu, które mogą Cię zainteresować.

• Wymagania systemowe dla aplikacji Dell Full Disk Encryption
• Opcja BIOS ustawiania hasła dysku twardego na dysku SSD M.2
• Automatyczne szyfrowanie urządzeń z systemem Windows lub funkcją BitLocker w komputerach firmy Dell