Harddiskkryptering er en prosess der data på disken, eller hele harddisken, konverteres til uleselig kode ved hjelp av matematiske algoritmer, slik at de ikke kan åpnes av uautoriserte brukere. Brukeren må oppgi passord, fingeravtrykk eller smartkort for å få tilgang til en kryptert stasjon. Kryptering kan utføres ved hjelp av programvare- eller maskinvaremekanismer. I klientsammenheng håndterer vi programvarekryptering mesteparten av tiden. Kryptering kan være på filnivå eller for hele harddisken.
Hovedforskjellen mellom programvare- og maskinvarekryptering er at hovedoppstartssektoren (MBR) ikke kan krypteres ved hjelp av en programvarekrypteringsmekanisme. Dell-klientdatamaskiner bruker Wave Trusted Drive Manager som en del av Dell Data Protection- eller Dell ControlPoint Security Manager-programserien med TPM-brikken for programvarebasert kryptering. Enterprise-kunder kan bruke Dell Data Protection Encryption og en DDPE-akseleratormodul som brukes i et spor på hovedkortet ved hjelp av minikortet for bærbare PC-er, eller et PCIe-kort for stasjonære datamaskiner. Maskinvarekryptering er sikrere fordi den isolerer disken fra CPU-en og operativsystemet, noe som gjør den langt mindre sårbar for angrep.
En TPM (Trusted Platform Module) er en kryptografisk mikroprosessor på hovedkortet som lagrer og autentiserer krypteringsnøklene for disken, som igjen binder disken til datamaskinen. Dette betyr at hvis den krypterte stasjonen blir stjålet fra datamaskinen og plassert i en annen datamaskin, kan ikke stasjonen være tilgjengelig. TPM-brikken fungerer som en "gateway" til disken. Den største ulempen med TPM-brikken som brukes i et krypteringsplan, er at hvis hovedkortet krever utskifting, kan det hende at disken ikke lenger er tilgjengelig for brukeren. Wave Trusted Drive Manager reduserer imidlertid dette problemet ved å holde krypteringsnøklene på harddisken også. (Dette tilsvarer situasjoner der RAID-matriser ikke går tapt når et hovedkort byttes ut. Matriseinformasjonen holdes på diskstripen og i RAID-kontrollerens EPROM.)
Mer informasjon: Feilsøke og løse vanlige problemer med TPM og BitLocker
Fullstendig diskkryptering betyr ganske enkelt at hele stasjonen (hver sektor) kan krypteres i stedet for filer, mapper eller fildatamaskiner. FDE-harddisker blir stadig mer standard i bærbare PC-er på grunn av økt sjanse for datamaskintyveri eller tap. Begrepet "full diskkryptering" er opprinnelig laget av Seagate, men er nå en bransjebetegnelse for alle harddisker som kan krypteres fullstendig. Sikkerhetsfunksjoner for FDE-harddisker er alltid på og fungerer som en vanlig harddisk til sikkerhetsretningslinjene er implementert.
Et vanlig spørsmål som oppstår, er om Wave Trusted Drive Manager-krypteringsprogramvaren kan brukes på en ikke-FDE-harddisk for å sikre hele disken. Svaret er at ingen Wave Trusted Drive Manager krever en FDE-stasjon. Programvarekrypteringsmekanismer, for eksempel Windows BitLocker, kan brukes til å kryptere volumer på ikke-FDE-stasjoner ved hjelp av TPM-brikken eller en USB-stasjon, men ikke operativsystemets bootstrap (oppstartssektor) på harddisken.
For å få tilgang til innholdet i en fullstendig kryptert harddisk med Wave Trusted Drive Manager, brukes godkjenning før oppstart, slik at sektorene som inneholder operativsystemet og brukerdata, kan nås. På klientdatamaskiner som bruker DDPA, håndteres godkjenningsoppsett før oppstart av Wave-programvaren i DDPA\DCPSM.
BitLocker er en funksjon for fullstendig diskkryptering som er tilgjengelig i Windows 7, og som bare er tilgjengelig i utgavene Ultimate og Enterprise. Du kan bruke BitLocker To Go for å beskytte alle filer som er lagret på flyttbare datadisker (for eksempel eksterne harddisker eller USB-minnepinner).
I motsetning til Trusted Drive Manager trenger ikke disse stasjonene å være FDE-stasjoner, men BitLocker kan bare kryptere volumer, men ikke oppstartsvolumet. Stasjoner som er kryptert med BitLocker, kan låses opp via preboot ved hjelp av et passord eller et smartkort med TPM. For at du skal få tilgang til BitLocker ved hjelp av en preboot-mekanisme, må BIOS kunne lese en USB-stasjon ved oppstart, og to partisjoner må være til stede. Datamaskindiskpartisjonen må være på minst 100 MB og angis som den aktive partisjonen. Operativsystempartisjonen er kryptert, og datamaskinpartisjonen forblir ukryptert slik at datamaskinen kan starte.
TPM er ikke nødvendig for bitlocker-bruk, men anbefales på det sterkeste for forhåndsoppstart for bedre sikkerhet. Windows-oppdateringer krever ikke deaktivering av BitLocker, men andre oppdateringer kan kreve deaktivering. I likhet med andre krypteringsapplikasjoner anbefales det at gjenopprettingsnøkler (PIN-kode) lagres på flyttbare medier eller andre sikre plasseringer. Hvis brukeren ikke har PIN-koden for gjenoppretting, er det ikke mulig å låse opp disken. Hvis datamaskinen ikke kan starte for å komme til BitLocker-gjenopprettingskonsollen, eller harddisken har sviktet, kan BitLocker-reparasjonsverktøyet lastes ned og pakkes ut til en oppstartbar nøkkel eller CD for å gjenopprette data fra stasjonen. Du må ha PIN-koden for å få tilgang til dataene.
Hvis brukeren er på et domene ved hjelp av Active Directory og administratoroppsettet For BitLocker, er det mulig at pinnen ble lagret i Active Directory, slik at de kan sjekke med IT-avdelingen.
Mer informasjon: Feilsøke og løse vanlige problemer med TPM og BitLocker
En 512e (4K) eller avansert format, harddisk betyr ganske enkelt at de individuelle sektorene av stasjonen har endret seg fra 512 til 4096 byte. Den første generasjonen harddisker med avansert format oppnår dette ved å ta sektorer på 8–512 byte og kombinere dem i én enkelt sektor på 4096 byte. I Dell-datamaskiner kommer begrepet 512e (emulering) fra å bruke konverteringsmekanismer i harddiskens fastvare for å simulere 4096 sektorutseende for eldre komponenter og programvare som forventer sektorer på 512 byte. All lesing/skriving til en harddisk med avansert 512e-format utføres i trinn på 512 byte, men i en lesesyklus lastes hele 4096 inn i minnet. 512e-harddisker må justeres på grunn av dette. Hvis diskjustering ikke utføres, kan ytelsen til disken bli svært påvirket. Gjeldende harddisker som er kjøpt med en Dell-datamaskin, er allerede justert.
Hvis du vil finne ut om datamaskinen har en disk med avansert format (512e), laster du ned verktøyet for oppdaging av harddisken med avansert format.
Partisjonsjustering er nødvendig for eldre operativsystemer og anbefales for nye operativsystemer for å sikre riktig harddiskytelse og avbildning mellom harddisker med ulike sektorstørrelser.
Stasjonsjustering kan utføres ved hjelp av flere verktøy som kan lastes ned fra Dell-nettstedet for drivere og nedlastinger for datamaskinen din under delen SATA-disker.
For Wave Trusted Drive Manager må harddisken være en FDE-disk (Full Drive Encryption), og SATA-operasjonen må angis for ATA\AHCI\IRRT og ikke RAID On\RAID. Dette kan være tilfellet med tredjeparts krypteringsprogrammer.
Sjekk med leverandøren for eventuelle BIOS-innstillingskrav.
Sjekk for diskjustering om det brukes et operativsystemimage, spesielt Windows XP. Kontroller at alle oppdateringer er tatt i bruk på imaget før kryptering.
Hvis tredjeparts krypteringsprogramvare brukes, kontakter du leverandøren for å sikre at programvaren fungerer med maskinvaren i datamaskinen og UEFI-BIOS (Unified Extensible Firmware Interface).
Slå på datamaskinen, og trykk deretter på F12-tasten under oppstartsprosessen for å gå til BIOS-oppstartsmenyen. Det kan være nødvendig å trykke på tasten gjentatte ganger under oppstartsprosessen for å få BIOS til å gjenkjenne nøkkelen på riktig tidspunkt. Bruk pil opp og pil ned for å velge <Diagnostics (Diagnostikk> ) på menyen, og trykk på Enter-tasten.
Enhanced Preboot System Assessment-diagnostikk (ePSA) kjøres for å sikre at stasjonen ikke er i en sviktende tilstand og ikke har rapportert noen feil. Hvis du har en disk med avansert format (512e), må du kontrollere at disken er riktig justert før kryptering utføres.
Kontakt tredjepartsleverandøren for gjenopprettingsalternativer. De fleste selskaper har et gjenopprettingsverktøy som brukeren kan laste til en oppstartbar minnepinne eller CD. Se også leverandørens nettsted for problemer med datamaskinplattformer i tilfelle det er noen problemer med denne bestemte programvaren på denne datamaskinmodellen.
Hvis operativsystemet blir skadet på en kryptert harddisk og krever ominstallasjon, er det mulig at Windows-installasjonsdisken ikke gjenkjenner harddisken fordi harddisken er i en låst tilstand. For Wave Trusted Drive Manager-krypterte disker må disken være låst opp før operativsystemet kan installeres på nytt.
Se støttedokumentene på Wave-nettstedet som forklarer hvordan du låser opp stasjonen før du installerer den på nytt her.
For tredjeparts krypteringsprogramvare må du ta kontakt med leverandøren for å få riktig fremgangsmåte før du prøver å installere på nytt.
Hvis en bruker har mistet passordet før oppstart, krypteringsnøkkelen eller en sluttbruker har forlatt selskapet, gir de fleste leverandører av krypteringsapplikasjoner en feilsikker mekanisme for gjenoppretting. På grunn av bransjestandard datapolicyer må gjenopprettingsmekanismen startes av kunden. Dette gjøres ved å lagre passordet/nøkkelen til flyttbar lagring eller nettverksplassering. Hvis fullstendig diskkryptering ble implementert og brukeren mistet passordet/nøkkelen, kan ikke Dell hjelpe dem med å gjenopprette passordet/nøkkelen for disken. Brukeren trenger en ny harddisk i dette tilfellet. Dette problemet faller utenfor serviceomfanget ettersom krypteringen fungerer som den skal og beskytter dataene mot inntrenging. Utskifting av stasjonen finner sted på brukerens bekostning. Wave kan hjelpe deg med brukernavnproblemer. Brukerenmå ha passordet sitt for wave for å få hjelp med et glemt brukernavn. Hvis brukeren har glemt, mistet eller ikke har passordet sitt, kan wave dessverre ikke hjelpe.
Hvis de ovennevnte trinnene ikke løser problemet, kan du kontakte Dells tekniske støtte for å få hjelp.
Her er noen anbefalte artikler relatert til dette emnet som kan være av interesse for deg.