Зашифрованный жесткий диск

Применимо к:

• Windows 10
• Windows 11
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Azure Stack HCI

Зашифрованный жесткий диск использует быстрое шифрование, предоставляемое шифрованием диска BitLocker, для повышения безопасности данных и управления ими.

Разгрузив криптографические операции на оборудование, зашифрованные жесткие диски повышают производительность BitLocker и сокращают загрузку ЦП и энергопотребление. Так как зашифрованные жесткие диски быстро шифруют данные, корпоративные устройства могут развернуть BitLocker с минимальным влиянием на производительность.

Зашифрованные жесткие диски — это новый класс жестких дисков, которые самошифруются на аппаратном уровне и обеспечивают полное аппаратное шифрование дисков. Вы можете установить Windows на зашифрованные жесткие диски без дополнительных изменений, начиная с Windows 8 и Windows Server 2012.

Зашифрованные жесткие диски обеспечивают:

• Повышение производительности. Оборудование шифрования, интегрированное в контроллер диска, позволяет диску работать с полной скоростью передачи данных без снижения производительности.
• Надежная безопасность на основе оборудования. Шифрование всегда "включено", и ключи для шифрования никогда не покидают жесткий диск. Проверка подлинности пользователей выполняется диском, прежде чем он снимет блокировку (независимо от операционной системы).
• Простота использования. Шифрование прозрачно для пользователя, и пользователю не нужно включать его. Зашифрованные жесткие диски легко стираются с помощью встроенного ключа шифрования; нет необходимости повторно шифровать данные на диске.
• Снижение стоимости владения. Нет необходимости в новой инфраструктуре для управления ключами шифрования, так как BitLocker использует существующую инфраструктуру для хранения сведений о восстановлении. Устройство работает более эффективно, поскольку процесс шифрования не требует ресурсов процессора.

Зашифрованные жесткие диски изначально поддерживаются в операционной системе с помощью следующих механизмов:

• Идентификация. Операционная система определяет, что диск является типом зашифрованного жесткого диска.
• Активация. Служебная программа управления дисками операционной системы активирует, создает и сопоставляет тома с диапазонами и диапазонами соответствующим образом.
• Конфигурация. Операционная система создает и сопоставляет тома с диапазонами или диапазонами соответствующим образом.
• API: поддержка API для приложений для управления зашифрованными жесткими дисками независимо от шифрования диска BitLocker (BDE).
• Поддержка BitLocker. Интеграция с BitLocker панель управления обеспечивает простое взаимодействие с конечным пользователем BitLocker.

Warning

Самошифруемые жесткие диски и зашифрованные жесткие диски для Windows не являются одинаковыми типами устройств. Для зашифрованных жестких дисков Windows требуется соответствие определенным протоколам TCG, а также соответствие ieee 1667; Самошифруемые жесткие диски не имеют этих требований. При планировании развертывания важно убедиться, что тип устройства является зашифрованным жестким диском Windows.

Если вы являетесь поставщиком запоминающих устройств и ищете дополнительные сведения о реализации зашифрованного жесткого диска, см. руководство по зашифрованным жестким дискам.

Требования к системе

Для использования зашифрованных жестких дисков применяются следующие требования к системе:

Для зашифрованного жесткого диска, используемого в качестве диска данных:

• Диск должен находиться в неинициализированном состоянии.
• Диск должен находиться в неактивном состоянии безопасности.

Для зашифрованного жесткого диска, используемого в качестве начального диска:

• Диск должен находиться в неинициализированном состоянии.
• Диск должен находиться в неактивном состоянии безопасности.
• Компьютер должен быть основан на UEFI 2.3.1 и иметь определенный EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется, чтобы разрешить программам, работающим в среде служб загрузки EFI, отправлять на диск команды протокола безопасности.
• На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
• Компьютер всегда должен загружаться изначально из UEFI.

Warning

Для правильной работы все зашифрованные жесткие диски должны быть подключены к контроллерам без RAID.

Технический обзор

Быстрое шифрование в BitLocker напрямую отвечает требованиям к безопасности предприятий, обеспечивая повышенную производительность. В версиях Windows, предшествующих Windows Server 2012, BitLocker требовал двухфакторного процесса для выполнения запросов на чтение и запись. В Windows Server 2012, Windows 8 или более поздних версиях зашифрованные жесткие диски разгружают криптографические операции на контроллер диска для гораздо большей эффективности. Когда операционная система определяет зашифрованный жесткий диск, она активирует режим безопасности. Эта активация позволяет контроллеру диска создавать ключ мультимедиа для каждого тома, создаваемого главным компьютером. Этот ключ мультимедиа, который никогда не предоставляется за пределами диска, используется для быстрого шифрования или расшифровки каждого байта данных, отправляемых или полученных с диска.

Настройка зашифрованных жестких дисков в качестве начальных дисков

Настройка зашифрованных жестких дисков в качестве начальных дисков выполняется с помощью методов, которые используют стандартные жесткие диски. К этим методам относятся:

• Развертывание с носителя. Настройка зашифрованных жестких дисков происходит автоматически в процессе установки.
• Развертывание из сети. Этот метод развертывания включает загрузку среды Windows PE и использование средств создания образов для применения образа Windows из сетевого ресурса. При использовании этого метода необязательный компонент Расширенного хранилища должен быть включен в образ Windows PE. Этот компонент можно включить с помощью диспетчер сервера, Windows PowerShell или средства командной строки DISM. Если этого компонента нет, настройка зашифрованных жестких дисков не будет работать.
• Развертывание с сервера. Этот метод развертывания включает загрузку PXE клиента с зашифрованными жесткими дисками. Настройка зашифрованных жестких дисков происходит автоматически в этой среде при добавлении компонента расширенного хранилища в загрузочный образ PXE. Во время развертывания параметр TCGSecurityActivationDisabled в unattend.xml управляет поведением шифрования зашифрованных жестких дисков.
• Дублирование дисков. Этот метод развертывания включает использование ранее настроенных устройств и средств дублирования дисков для применения образа Windows к зашифрованным жестким дискам. Для работы этой конфигурации диски должны быть секционированы с использованием по крайней мере Windows 8 или Windows Server 2012. Образы, выполненные с помощью дубликаторов дисков, не будут работать.

Настройка аппаратного шифрования с помощью групповой политики

Существует три связанных групповая политика параметров, которые помогают управлять тем, как BitLocker использует аппаратное шифрование и какие алгоритмы шифрования следует использовать. Если эти параметры не настроены или отключены в системах, оснащенных зашифрованными дисками, BitLocker использует программное шифрование:

• Настройка использования аппаратного шифрования для фиксированных дисков данных
• Настройка использования аппаратного шифрования для съемных дисков с данными
• Настройка использования аппаратного шифрования для дисков операционной системы

Архитектура зашифрованного жесткого диска

Зашифрованные жесткие диски используют два ключа шифрования на устройстве для управления блокировкой и разблокировки данных на диске. Эти ключи шифрования являются ключом шифрования данных (DEK) и ключом проверки подлинности (AK).

Ключ шифрования данных — это ключ, используемый для шифрования всех данных на диске. Диск создает DEK и никогда не покидает устройство. Он хранится в зашифрованном формате в случайном расположении на диске. Если dek изменен или удален, данные, зашифрованные с помощью DEK, невосстановимы.

AK — это ключ, используемый для разблокировки данных на диске. Хэш ключа хранится на диске и требует подтверждения для расшифровки DEK.

Когда компьютер с зашифрованным жестким диском находится в выключенном состоянии, диск автоматически блокируется. Когда компьютер включается, устройство остается в заблокированном состоянии и разблокируется только после того, как AK расшифровывает DEK. После того как AK расшифровывает DEK, на устройстве могут выполняться операции чтения и записи.

При записи данных на диск они проходят через подсистему шифрования перед завершением операции записи. Аналогичным образом для чтения данных с диска требуется, чтобы модуль шифрования расшифровыл эти данные перед передачей данных обратно пользователю. Если ak необходимо изменить или удалить, данные на диске не требуется повторно шифровать. Необходимо создать новый ключ проверки подлинности, и он повторно зашифрует DEK. После завершения dek теперь можно разблокировать с помощью нового AK, и чтение и запись в том можно продолжить.

Перенастройка зашифрованных жестких дисков

Многие зашифрованные жесткие диски предварительно настроены для использования. Если требуется перенастройка диска, выполните следующую процедуру после удаления всех доступных томов и восстановления диска в неинициализированное состояние:

1. Открыть управление дисками (diskmgmt.msc)
2. Инициализация диска и выбор соответствующего стиля секции (MBR или GPT)
3. Создайте один или несколько томов на диске.
4. Используйте мастер настройки BitLocker, чтобы включить BitLocker на томе.