Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Поиск и устранение проблем шифрования жесткого диска

Summary: В этой статье содержится информация о шифровании жесткого диска, а также описание BitLocker и инструкции по устранению неполадок, связанных с шифрованием жесткого диска на компьютере Dell. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Содержание:

  1. Что такое шифрование жесткого диска?
  2. Сравнение аппаратного шифрования с программным шифрованием
  3. Что такое TPM?
  4. Полное шифрование диска (FDE)
  5. Что такое BitLocker?
  6. Шифрование жестких дисков FDE расширенного формата 512e (4K)
  7. Жесткий диск не распознается программой шифрования
  8. Проблемы перед загрузкой
  9. Система не загружается после добавления стороннего программного обеспечения для шифрования.
  10. Шифрование и переустановка операционной системы
  11. Потеря паролей или ключа шифрования

1. Что такое шифрование жесткого диска?

Шифрование жесткого диска — это процесс преобразования данных на диске или всем накопителе в нечитаемый код с помощью математических алгоритмов, в результате которого несанкционированный доступ к данным становится невозможен. Для доступа к зашифрованным накопителям пользователь должен предоставить пароль, отпечаток пальца или смарт-карту. Шифрование может выполняться с помощью программных или аппаратных механизмов. На клиентских устройствах обычно используется программное шифрование. Шифрование может выполняться на уровне файлов или всего жесткого диска.

В начало


2. Сравнение аппаратного шифрования с программным шифрованием

Основное различие между программным и аппаратным шифрованием заключается в том, что при использовании программного шифрования нельзя зашифровать главную загрузочную запись (MBR). Клиентские компьютеры Dell используют Wave Trusted Drive Manager в составе пакета Dell Data Protection или Dell ControlPoint Security Manager с микросхемой TPM для программного шифрования. Корпоративные заказчики могут использовать Dell Data Protection Encryption и модуль ускорителя DDPE, который используется в слоте на системной плате, используя мини-карту для ноутбуков или плату PCIe для настольных компьютеров. Аппаратное шифрование более безопасно, так как оно изолирует накопитель от ЦП и операционной системы, что делает его гораздо менее уязвимым для атак.

В начало


3. Что такое TPM?

Доверенный платформенный модуль (TPM) — это криптографический микропроцессер на системной плате, который хранит и аутентифицирует ключи шифрования для диска, что, в свою очередь, привязывают диск к компьютеру. Это означает, что если зашифрованный накопитель будет украден из компьютера и помещен в другой компьютер, диск будет недоступен. Чип TPM выполняет роль «шлюза» к накопителю. Основной недостаток микросхемы TPM, используемой в схеме шифрования, — если системная плата требует замены, диск может быть недоступен для пользователя. Однако Wave Trusted Drive Manager устраняет эту проблему, сохраняя ключи шифрования на жестком диске. (Это аналогично RAID-массивам, которые не будут потеряны при замене системной платы. Информация о массиве хранится на дисковом страйпе и в EPROM-модуле RAID-контроллера.)

Дополнительная информация: диагностика и устранение распространенных проблем модуля TPM и BitLocker

В начало


4. Полное шифрование диска (FDE)

Полное шифрование диска означает, что вместо файлов, папок или файловых компьютеров можно шифровать весь диск (каждый сектор). Жесткие диски FDE становятся стандартом в ноутбуках из-за повышенной вероятность кражи или потери компьютера. Термин «полное шифрование диска» изначально используется корпорацией Seagate, но теперь он является отраслевым термином для всех жестких дисков, которые могут быть полностью зашифрованы. Функции безопасности для жесткого диска FDE всегда включены, и диск работает как обычный, пока не реализованы политики безопасности.

Часто возникает вопрос, можно ли использовать программное обеспечение Wave Trusted Drive Manager для шифрования на жестком диске без FDE для защиты всего диска. Ответ: для Wave Trusted Drive Manager не требуется накопитель FDE. Программные механизмы шифрования, такие как Windows BitLocker, можно использовать для шифрования томов на дисках без FDE с помощью микросхемы TPM или USB-накопителя, но не для начальной загрузки операционной системы (загрузочного сектора) жесткого диска.

Для доступа к содержимому полностью зашифрованного жесткого диска с помощью Wave Trusted Drive Manager используется предзагрузочная аутентификация, после которой обеспечивается доступ к секторам, содержащим операционную систему и данные пользователя. На клиентских компьютерах, использующих DDPA, настройка предзагрузочной аутентификации выполняется программным обеспечением Wave в DDPA\DCPSM.

В начало


5. Что такое BitLocker?

BitLocker — это компонент для полного шифрования диска, который доступен в ОС Windows 7 (только в выпусках Максимальная и Корпоративная). BitLocker To Go можно использовать для защиты всех файлов, хранящихся на съемных накопителях (например, внешних жестких дисках или флэш-накопителях USB).

В отличие от Trusted Drive Manager, эти накопители не должны быть дисками FDE, но BitLocker может шифровать только тома, но не загрузочный том. Диски, зашифрованные с помощью BitLocker, можно разблокировать перед загрузкой с помощью пароля или смарт-карты с модулем TPM. Для доступа к BitLocker с помощью предзагрузочного механизма BIOS должна иметь возможность считывать USB-накопитель при загрузке, при этом должны быть два раздела, при этом размер раздела диска компьютера составляет не менее 100 Мбайт и он должен быть настроен в качестве активного раздела. Раздел операционной системы зашифрован, а раздел компьютера остается незашифрованным, чтобы компьютер можно было запустить.

Модуль TPM не требуется для использования BitLocker, но настоятельно рекомендуется использовать его перед загрузкой для повышения безопасности. Для обновлений Windows не требуется отключать BitLocker, но для других обновлений может потребоваться отключение. Как и в других приложениях шифрования, рекомендуется хранить ключи восстановления (PIN-код) на съемных носителях или в других защищенных местах. Если у пользователя не будет PIN-кода восстановления, он не сможет разблокировать накопитель. Если компьютер не загружается для доступа к консоли восстановления BitLocker или жесткий диск неисправен, инструмент BitLocker Repair ToolВнешняя ссылка можно загрузить и извлечь на загрузочный ключ или компакт-диск, чтобы восстановить данные с диска. Для доступа к данным необходимо иметь PIN-код.

Если пользователь находится в домене с использованием Active Directory и настроен администратором BitLocker, возможно, pin-код сохранен в Active Directory. Поэтому его необходимо проверить у ИТ-службы.

Дополнительная информация: диагностика и устранение распространенных проблем модуля TPM и BitLocker

В начало


6. Шифрование жестких дисков FDE расширенного формата 512e (4K).

Формат 512e (4K) или расширенный формат жесткого диска означает, что отдельные сектора диска изменились с 512 на 4096 байт. В первом поколении жестких дисков с расширенным форматом это достигается за счет 8–512-байтных секторов и их объединения в один сектор размером 4096 байт. В компьютерах Dell термин 512e (эмуляция) возникает от использования механизмов преобразования в микропрограмме жесткого диска для моделирования внешнего вида сектора 4096 для устаревших компонентов и программного обеспечения, который ожидает секторов размером 512 байт. Все операции чтения и записи на жесткий диск с расширенным форматом 512e выполняется с инкрементами по 512 байт, но при цикле чтения в память загружается вся емкость 4096 байт. Из-за этого требуется выравнивание жестких дисков 512e. Если выравнивание диска не выполнено, может значительно снизится производительность диска. Текущие жесткие диски, приобретенные с компьютером Dell, уже выровнены.

Чтобы определить, установлен ли на компьютере накопитель расширенного формата (512e), загрузите средство обнаружения жесткого диска с расширенным форматом. 

Выравнивание разделов необходимо для более старых операционных систем и рекомендуется для новых операционных систем, чтобы обеспечить надлежащую производительность жестких дисков и создание образов между жесткими дисками разных размеров секторов.

Выравнивание накопителей можно выполнить с помощью нескольких инструментов, которые можно загрузить с сайта поддержки Dell Драйверы и загружаемые материалы для вашего компьютера в разделе «Диски SATA».

В начало


7. Жесткий диск не распознается программой шифрования.

Для Wave Trusted Drive Manager необходимо, чтобы накопитель был полностью зашифрованным накопителем (FDE), а для SATA должен быть задан режим ATA\AHCI\IRRT, а не RAID On\RAID. Это может быть в случае с программами шифрования сторонних производителей.

Уточните у вендора требования к настройке BIOS.

Проверьте выравнивание накопителей, если используется образ операционной системы (особенно если это Windows XP). Перед шифрованием убедитесь, что все обновления были применены к образу.

Если используется сторонняя программа шифрования, обратитесь к поставщику, чтобы убедиться, что программное обеспечение работает с оборудованием компьютера, и BIOS Unified Extensible Firmware Interface (UEFI).

В начало


8. Проблемы перед загрузкой.

  • Если у пользователя возникли проблемы с предзагрузочной аутентификацией, проверьте, какой механизм аутентификации он использует: Пароль, отпечаток пальца или смарт-карта
  • Для паролей убедитесь, что они используют правильный пароль, и убедитесь, что клавиши Cap Lock и Num Lock установлены правильно.
  • При использовании отпечатков пальцев убедитесь, что они используют правильный палец и что они не слишком быстро прокрутки. Три недействительных пролистывы должны запустить запрос пароля.
  • При использовании смарт-карт убедитесь, что используется правильная карта, правильно вставлена и не повреждена. По возможности попробуйте использовать другую карту.
  • В домене убедитесь, что они не переключились на локальный вход. Они должны использовать те же учетные данные, что и при включении шифрования.
  • Если пользователь говорит, что предзагрузофикация не работает при перезагрузке, проверьте BIOS, чтобы убедиться, что обход пароля не включен. Эта функция не работает в ранних версиях BIOS, но с тех пор была исправлена. Убедитесь, что заказчик использует последнюю версию BIOS.
  • Если пользователь потерял пароль или больше не работает в компании, Dell не сможет восстановить пароль для шифрования Trusted Drive Manager. Для приложений сторонних производителей обратитесь за поддержкой к поставщику.

В начало


9. Система не загружается после добавления стороннего программного обеспечения для шифрования.

Включите компьютер и нажмите клавишу F12 во время загрузки, чтобы перейти в меню загрузки BIOS. Может потребуется несколько раз нажать эту клавишу во время загрузки, чтобы система BIOS распознала ее нажатие в нужный момент. С помощью клавиш со стрелками вверх и вниз выберите <в меню пункт Diagnostics> (Диагностика) и нажмите клавишу Enter.

Диагностика ePSA (Enhanced Preboot System Assessment) выполняется, чтобы убедиться, что накопитель не находится в неисправном состоянии и не сообщает об ошибках. Если у вас есть накопитель с расширенным форматом (512e), перед выполнением шифрования убедитесь, что он правильно выровнен.

Для получения вариантов восстановления обратитесь к стороннему вендору. У большинства компаний есть утилита восстановления, которую пользователь может загрузить на загрузочный ключ или компакт-диск. Кроме того, на веб-сайте поставщика проверьте наличие проблем с компьютерной платформой на случай проблем с этим программным обеспечением данной модели компьютера.

В начало


10 Шифрование и переустановка операционной системы

Если в результате повреждения операционной системы на зашифрованном жестком диске требуется ее переустановка, не исключено, что установочный диск Windows не сможет распознать этот жесткий диск из-за его блокировки. Для накопителей, зашифрованных с помощью Wave Trusted Drive Manager, необходимо разблокировать накопитель перед переустановкой операционной системы.

См. документы поддержки на сайте Wave, в которых объясняется, как разблокировать накопитель перед повторной установкой.

Для стороннего программного обеспечения для шифрования перед попыткой переустановки обратитесь к поставщику, чтобы проверить правильность процедуры.

 

В начало


11 Потеря паролей или ключа шифрования

Если пользователь потерял пароль перед загрузкой, ключ шифрования или конечный пользователь уошел из компании, большинство поставщиков приложений шифрования предоставляют отказоустойчивую систему для восстановления. В связи с политиками обработки данных отраслевого стандарта механизм восстановления должен инициироваться заказчиком. Это можно сделать путем сохранения пароля\ключа на съемной системе хранения или в сетевом расположении. Если было реализовано полное шифрование диска и пользователь потерял пароль\ключ, Dell не сможет помочь восстановить пароль\ключ для диска. В этом случае пользователю требуется заменить жесткий диск. Эта проблема выходит за рамки гарантии, так как шифрование работает должным образом и защищает данные от вторжений. Замена накопителя производится за счет пользователя. Wave может помочь в устранении проблем с именем пользователя. Tон должен иметь пароль для Wave, чтобы помочь с забытым именем пользователя. Если пользователь забыл, потерял или не имеет своего пароля, к сожалению, Wave не может помочь.

Если описанные выше действия не помогли устранить проблему, свяжитесь со службой технической поддержки Dell для получения помощи.

В начало

Additional Information

Affected Products

Alienware, Inspiron, Legacy Desktop Models, OptiPlex, Vostro, XPS, G Series, G Series, Alienware, Inspiron, Latitude, Vostro, XPS, Legacy Laptop Models, Fixed Workstations, Mobile Workstations
Article Properties
Article Number: 000178978
Article Type: How To
Last Modified: 22 Dec 2023
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.