Hårddiskkryptering är en process där data på disken, eller hela enheten, görs om till oläsbar kod med hjälp av matematiska algoritmer. Det betyder att den inte kan användas av obehöriga användare. Användaren måste ange ett lösenord, fingeravtryck eller smartkort för att få åtkomst till en krypterad enhet. Krypteringen kan utföras med hjälp av antingen programvara eller maskinvara. Slutanvändare använder oftast programvarukryptering. Krypteringen kan vara på filnivå eller för hela hårddisken.
Den största skillnaden mellan programvarukryptering och maskinvarukryptering är att det inte går att kryptera MRB (master boot record) med programvarukryptering. Dells klientdatorer använder Wave Trusted Drive Manager som en del av Dell Data Protection eller Dell ControlPoint Security Manager-sviten med TPM-chipet för programvarubaserad kryptering. Företagskunder kan använda Dell Data Protection Encryption och en DDPE Accelerator-modul som används i en kortplats på moderkortet med hjälp av minikortet för bärbara datorer eller ett PCIe-kort för stationära datorer. Maskinvarukryptering är säkrare eftersom den isolerar enheten från processorn och operativsystemet, vilket gör den mycket mindre sårbar för angrepp.
TPM (Trusted Platform Module) är en kryptografisk mikroprocessor på moderkortet som lagrar och autentiserar krypteringsnycklarna för enheten, vilket i sin tur kopplar enheten till datorn. Det innebär att enheten inte kan kommas åt om den krypterade enheten blir stulen från datorn och placeras i en annan dator. TPM-chipet fungerar som en ”gateway” till enheten. Den största nackdelen med TPM-chip som används i ett krypteringsschema är att disken kanske inte längre är tillgänglig för användaren om moderkortet behöver bytas ut. Wave Trusted Drive Manager löser problemet genom att krypteringsnycklarna förvaras på hårddisken också. (Ungefär som när RAID-uppsättningar inte går förlorade när ett moderkort byts ut. Uppsättningsinformationen lagras på diskranden och i RAID-styrenheten EPROM.)
Mer information: Felsök och åtgärda vanliga problem med TPM och BitLocker
Fullständig diskkryptering innebär helt enkelt att hela enheten (alla sektorer) kan krypteras i stället för filer, mappar eller fildatorer. FDE-hårddiskar håller på att bli standard på bärbara datorer, eftersom de ökar risken för stöld eller förlust av datorer. Termen "fullständig diskkryptering" myntas ursprungligen av Seagate, men är nu en branschterm för alla hårddiskar som kan krypteras fullständigt. FDE-säkerhetsfunktionerna är alltid påslagna. Hårddisken fungerar som en vanlig hårddisk tills säkerhetsprinciperna implementeras.
En vanlig fråga är om Wave Trusted Drive Manager-krypteringsprogramvaran kan användas på en hårddisk som inte är av FDE-kvalitet för att skydda hela disken. Svaret är att ingen Wave Trusted Drive Manager kräver en FDE-enhet. Programvarukrypteringsmekanismer, t.ex. Windows BitLocker, kan användas för att kryptera volymer på enheter som inte är av FDE-typ med TPM-kretsen eller en USB-enhet, men inte startsektorn på hårddisken.
Autentisering före start används så att det går att komma åt sektorerna som innehåller operativsystemet och användardata, för att ge tillgång till innehållet på en fullständigt krypterad hårddisk av Wave Trusted Drive Manager. På klientdatorer som använder DDPA hanteras konfigurationen av autentisering före start av Wave-programvaran inom DDPA\DCPSM.
BitLocker är en funktion för fullständig diskkryptering som finns i Windows 7. Den är endast tillgängligt i versionerna Ultimate och Enterprise. Med BitLocker To Go kan du skydda alla filer som lagras på flyttbara enheter (t.ex. externa hårddiskar och USB-enheter).
Till skillnad från Trusted Drive Manager behöver dessa enheter inte vara FDE-hårddiskar, men BitLocker kan bara kryptera volymer men inte startvolymen. Enheter som krypterats med BitLocker kan låsas upp före start med hjälp av ett lösenord eller smartkort med TPM. För att BitLocker ska kunna nås med en förstartsmekanism måste BIOS kunna läsa en USB-enhet vid start och två partitioner måste finnas, där datorenhetspartitionen är minst 100 MB och inställd som den aktiva partitionen. Operativsystempartitionen är krypterad och datorpartitionen förblir okrypterad så att datorn kan starta.
TPM krävs inte för användning av BitLocker, men rekommenderas för förstart för bättre säkerhet. Windows-uppdateringar kräver inte att BitLocker inaktiveras, men andra uppdateringar kan kräva att det inaktiveras. Precis som med andra krypteringsprogram rekommenderar vi att du lagrar återställningsnycklar (PIN) på flyttbara medier eller andra säkra platser. Om användaren inte har PIN-koden för återställning går det inte att låsa upp enheten. Om datorn inte kan starta för att komma till BitLocker-återställningskonsolen, eller om hårddisken har misslyckats, kan BitLocker-reparationsverktyget hämtas och extraheras till en startbar nyckel eller CD-skiva för att återställa data från enheten. Du måste ha PIN-koden för att komma åt dina data.
Om användaren är i en domän med Active Directory och administratörsinställningen av BitLocker är det möjligt att stiftet lagrades i Active Directory, så låt dem kontrollera med IT-avdelningen.
Mer information: Felsök och åtgärda vanliga problem med TPM och BitLocker
En hårddisk på 512e (4K) eller avancerat format innebär helt enkelt att de enskilda sektorerna på enheten har ändrats från 512 till 4 096 byte. Den första generationen hårddiskar med Advanced Format åstadkommer detta genom att ta sektorer på 8–512 byte och kombinera dem till en enda sektor på 4 096 byte. I Dell-datorer kommer termen 512e (emulering) från användning av konverteringsmekanismer i hårddiskens fasta programvara för att simulera 4 096-sektorns utseende för äldre komponenter och programvara som förväntar sig 512-byte-sektorer. Alla läs/skrivningar till en 512e-hårddisk med Advanced Format utförs i steg om 512 byte, men under en läscykel läses hela 4 096 in i minnet. 512e-hårddiskar måste justeras efter det här. Om enhetsjusteringen inte utförs kan prestandan påverkas kraftigt. Aktuella hårddiskar som köps med en Dell-dator är redan justerade.
Om du vill ta reda på om datorn har en hårddisk med Advanced Format (512e) hämtar du detekteringsverktyget för Hårddiskar med Advanced Format.
Partitionsjustering krävs för äldre operativsystem och rekommenderas för nya operativsystem för att säkerställa korrekt hårddiskprestanda och avbildning mellan hårddiskar av olika sektorstorlekar.
Enhetsjustering kan göras med hjälp av flera verktyg som kan hämtas från Dells supportwebbplats Drivrutiner och hämtningsbara filer för din dator under avsnittet SATA-hårddiskar.
För Wave Trusted Drive Manager måste enheten vara av FDE-typ, fullständig hårddiskkryptering, och SATA-driften måste vara inställd på ATA\AHCI\IRRT (och inte RAID On\RAID). Detta kan vara fallet med krypteringsprogram från tredje part.
Fråga leverantören rörande alla krav för BIOS-inställningar.
Titta efter enhetsjustering om en avbildning av operativsystemet används, i synnerhet Windows XP. Kontrollera att alla uppdateringar har tillämpats på avbildningen före kryptering.
Om krypteringsprogramvara från tredje part används kontrollerar du med leverantören för att säkerställa att programvaran fungerar med maskinvaran i datorn och UEFI (Unified Extensible Firmware Interface) BIOS.
Starta datorn och tryck sedan på F12 under startprocessen för att komma till BIOS-startmenyn. Du kan behöva trycka upprepade gånger på tangenten under startprocessen, för att BIOS ska kunna identifiera tangenten vid rätt tid. Använd upp- och nedpiltangenterna för att välja <Diagnostics (diagnostik> ) på menyn och tryck på Retur.
ePSA-diagnostiken (Enhanced Preboot System Assessment) körs för att säkerställa att enheten inte är i felläge och inte har rapporterat några fel. Om du har en Advanced Format-enhet (512e) kontrollerar du att enheten är korrekt justerad innan krypteringen utförs.
Fråga tredjepartsleverantören om återställningsalternativ. De flesta företag har ett återställningsverktyg som användaren kan överföra till en startbar enhet eller CD-skiva. Kontrollera även leverantörens webbplats för datorplattformsproblem om det skulle uppstå några problem med den här programvaran på den här datormodellen.
Om operativsystemet skadas på en krypterad hårddisk och måste installeras om kan det hända att Windows-installationsskivan inte känner igen hårddisken eftersom den är i ett låst tillstånd. För enheter som är krypterade med Wave Trusted Drive Manager måste enheten låsas upp innan det går att installera om operativsystemet.
Se supportdokumenten på Wave-webbplatsen som förklarar hur du låser upp enheten innan du installerar om den här.
För krypteringsprogramvara från tredje part ska du fråga leverantören om den korrekta proceduren innan du försöker installera om.
Om en användare har tappat bort lösenordet, krypteringsnyckeln eller slutanvändaren har lämnat företaget tillhandahåller de flesta krypteringsprogramleverantörer en felsäker mekanism för återställning. På grund av branschstandardiserade datapolicyer måste återställningsmekanismen initieras av kunden. Det gör du genom att spara lösenordet\nyckeln till en flyttbar lagringsplats eller nätverksplats. Om fullständig diskkryptering implementerades och användaren tappar bort lösenordet\nyckeln kan Dell inte hjälpa dem att återställa lösenordet/nyckeln för enheten. Användaren behöver en ersättningshårddisk i det här fallet. Det här problemet omfattas inte av garantin eftersom krypteringen fungerar som avsett och skyddar data från intrång. Bytet av enheten betalas helt av användaren. Wave kan hjälpa till med användarnamnsproblem. Användaren måste ha sitt lösenord för Wave för att få hjälp med ett glömt användarnamn. Om användaren har glömt, tappat bort eller inte har sitt lösenord kan Wave tyvärr inte hjälpa till.
Om ovanstående steg inte löser problemet kontaktar du Dells tekniska support för hjälp.
Här är några rekommenderade artiklar om detta ämne som kan vara av intresse för dig.