Discos rígidos criptografados
Visão geral
Os discos rígidos criptografados são uma classe de discos rígidos que são auto-criptografados no nível do hardware e permitem a criptografia completa de hardware de disco enquanto são transparentes para o usuário. Essas unidades combinam os benefícios de segurança e gerenciamento fornecidos pelo Criptografia de Unidade de Disco BitLocker com o poder das unidades de autocriptografia.
Ao transferir as operações criptográficas para o hardware, os discos rígidos criptografados aumentam o desempenho do BitLocker e reduzem o uso da CPU e o consumo de energia. Como os discos rígidos criptografados criptografam dados rapidamente, a implantação do BitLocker pode ser expandida entre dispositivos corporativos com pouco ou nenhum impacto na produtividade.
Os discos rígidos criptografados fornecem:
- Melhor desempenho: o hardware de criptografia, integrado ao controlador de unidade, permite que a unidade opere a uma taxa de dados completa sem degradação de desempenho
- Forte segurança baseada em hardware: a criptografia está sempre ativada e as chaves para criptografia nunca saem do disco rígido. A autenticação do usuário é executada pela unidade antes de ser desbloqueada, independentemente do sistema operacional
- Facilidade de uso: a criptografia é transparente para o usuário e o usuário não precisa habilitá-la. Os discos rígidos criptografados são facilmente apagados usando a chave de criptografia a bordo; não há necessidade de criptografar novamente os dados na unidade
- Menor custo de propriedade: não há necessidade de uma nova infraestrutura para gerenciar chaves de criptografia, já que o BitLocker usa sua infraestrutura existente para armazenar informações de recuperação. Seu dispositivo opera com mais eficiência porque os ciclos de processador não precisam ser usados para o processo de criptografia
Os discos rígidos criptografados têm suporte nativo no sistema operacional por meio dos seguintes mecanismos:
- Identificação: o sistema operacional identifica que a unidade é um tipo de dispositivo de disco rígido criptografado
- Ativação: o utilitário de gerenciamento de disco do sistema operacional ativa, cria e mapeia volumes para intervalos/bandas conforme apropriado
- Configuração: o sistema operacional cria e mapeia volumes para intervalos/bandas conforme apropriado
- API: suporte à API para aplicativos gerenciarem discos rígidos criptografados independentemente da criptografia de unidade do BitLocker
- Suporte ao BitLocker: a integração com o bitLocker Painel de Controle fornece uma experiência de usuário do BitLocker perfeita
Aviso
Os discos rígidos criptografados e os discosrígidos criptografados para Windows não são o mesmo tipo de dispositivos:
- Discos rígidos criptografados para Windows exigem conformidade para protocolos TCG específicos, bem como conformidade do IEEE 1667
- os discos rígidos auto-criptografados não têm esses requisitos
É importante confirmar que o tipo de dispositivo é um disco rígido criptografado para Windows ao planejar a implantação.
Quando o sistema operacional identifica um disco rígido criptografado, ele ativa o modo de segurança. Essa ativação permite que o controlador de unidade gere uma chave de mídia para cada volume que o computador host cria. A chave de mídia, que nunca é exposta fora do disco, é usada para criptografar ou descriptografar rapidamente cada byte de dados enviados ou recebidos do disco.
Se você é um fornecedor de dispositivos de armazenamento que está procurando mais informações sobre como implementar o disco rígido criptografado, consulte o guia do dispositivo de disco rígido criptografado.
Requisitos do sistema
Para usar discos rígidos criptografados, os seguintes requisitos do sistema se aplicam:
Para um disco rígido criptografado usado como uma unidade de dados:
- A unidade deve estar em um estado não diferenciado
- A unidade deve estar em um estado inativo de segurança
Para um disco rígido criptografado usado como uma unidade de inicialização:
- A unidade deve estar em um estado não diferenciado
- A unidade deve estar em um estado inativo de segurança
- O computador deve ser baseado em UEFI 2.3.1 e ter o
EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL
definido. Esse protocolo é usado para permitir que programas em execução no ambiente de serviços de inicialização EFI enviem comandos de protocolo de segurança para a unidade - O computador deve ter o CSM (módulo de suporte de compatibilidade) desabilitado na UEFI
- O computador deve sempre inicializar nativamente do UEFI
Aviso
Todos os discos rígidos criptografados devem ser anexados a controladores não RAID para funcionar corretamente.
Edição do Windows e requisitos de licenciamento
A tabela a seguir lista as edições do Windows que dão suporte ao disco rígido criptografado:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sim | Sim | Sim | Sim |
Os direitos de licença de disco rígido criptografados são concedidos pelas seguintes licenças:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Configurar discos rígidos criptografados como unidades de inicialização
Para configurar discos rígidos criptografados como unidades de inicialização, use os mesmos métodos que os discos rígidos padrão:
- Implantar na mídia: a configuração de discos rígidos criptografados acontece automaticamente por meio do processo de instalação
- Implantar na rede: esse método de implantação envolve inicializar um ambiente do Windows PE e usar ferramentas de imagem para aplicar uma imagem do Windows de um compartilhamento de rede. Com esse método, o componente opcional Armazenamento Aprimorado precisa ser incluído na imagem do Windows PE. Habilite esse componente usando Gerenciador do Servidor, Windows PowerShell ou a ferramenta de linha de comando DISM. Se o componente não estiver presente, a configuração de discos rígidos criptografados não funcionará
-
Implantar no servidor: esse método de implantação envolve a inicialização PXE de um cliente com discos rígidos criptografados presentes. A configuração de discos rígidos criptografados acontece automaticamente nesse ambiente quando o componente Armazenamento Aprimorado é adicionado à imagem de inicialização PXE. Durante a implantação, a configuração TCGSecurityActivationDisabled em
unattend.xml
controla o comportamento de criptografia de discos rígidos criptografados - Duplicação de disco: esse método de implantação envolve o uso de um dispositivo configurado anteriormente e ferramentas de duplicação de disco para aplicar uma imagem do Windows a um disco rígido criptografado. Imagens feitas usando duplicadores de disco não funcionam
Configurar criptografia baseada em hardware com configurações de política
Há três configurações de política para gerenciar como o BitLocker usa criptografia baseada em hardware e quais algoritmos de criptografia usar. Se essas configurações não estiverem configuradas ou desabilitadas em sistemas equipados com unidades criptografadas, o BitLocker usará criptografia baseada em software:
- Configurar o uso de criptografia baseada em hardware para unidades de dados fixas
- Configurar o uso de criptografia baseada em hardware para unidades de dados removíveis
- Configurar o uso de criptografia baseada em hardware para unidades do sistema operacional
Arquitetura de disco rígido criptografado
Os discos rígidos criptografados utilizam duas chaves de criptografia no dispositivo para controlar o bloqueio e o desbloqueio de dados na unidade. Essas chaves de criptografia são a DEK ( Chave de Criptografia de Dados ) e a Chave de Autenticação (AK):
- a Chave de Criptografia de Dados é usada para criptografar todos os dados na unidade. A unidade gera o DEK e nunca sai do dispositivo. Ele é armazenado em um formato criptografado em um local aleatório na unidade. Se o DEK for alterado ou apagado, os dados criptografados usando o DEK serão irrecuperáveis.
- O AK é a chave usada para desbloquear dados na unidade. Um hash da chave é armazenado na unidade e requer confirmação para descriptografar o DEK
Quando um dispositivo com um disco rígido criptografado está em um estado desligado, a unidade bloqueia automaticamente. À medida que um dispositivo se alimenta, o dispositivo permanece em um estado bloqueado e só é desbloqueado depois que o AK descriptografa o DEK. Depois que o AK descriptografa o DEK, as operações de gravação de leitura podem ocorrer no dispositivo.
Quando os dados são gravados na unidade, ele passa por um mecanismo de criptografia antes da conclusão da operação de gravação. Da mesma forma, a leitura de dados da unidade requer que o mecanismo de criptografia descriptografe os dados antes de passar esses dados de volta para o usuário. Se o AK precisar ser alterado ou apagado, os dados na unidade não precisarão ser criptografados novamente. Uma nova chave de autenticação precisa ser criada e criptografa novamente o DEK. Depois de concluído, o DEK agora pode ser desbloqueado usando o novo AK e as gravações de leitura no volume podem continuar.
Reconfigurar discos rígidos criptografados
Muitos dispositivos de disco rígido criptografados vêm pré-configurados para uso. Se a reconfiguração da unidade for necessária, use o procedimento a seguir depois de remover todos os volumes disponíveis e reverter a unidade para um estado não diferenciado:
- Abrir gerenciamento de disco (
diskmgmt.msc
) - Inicialize o disco e selecione o estilo de partição apropriado (MBR ou GPT)
- Crie um ou mais volumes no disco.
- Use o assistente de instalação do BitLocker para habilitar o BitLocker no volume.