Зашифрованные жесткие диски
Обзор
Зашифрованные жесткие диски — это класс жестких дисков, которые самошифруются на аппаратном уровне и обеспечивают полное аппаратное шифрование диска, будучи прозрачным для пользователя. Эти диски объединяют преимущества безопасности и управления, предоставляемые BitLocker Drive Encryption, с мощностью дисков с самостоятельным шифрованием.
Путем передачи криптографических операций в оборудование функция "Зашифрованный жесткий диск" повышает производительность BitLocker и снижает потребление ресурсов ЦП и электроэнергии. Поскольку зашифрованные жесткие диски быстро шифруют данные, развертывание BitLocker можно распространить на корпоративные устройства практически без влияния на производительность.
Зашифрованные жесткие диски обеспечивают следующие возможности.
- Улучшенная производительность: оборудование шифрования, интегрированное в контроллер диска, позволяет диску работать с полной скоростью передачи данных без снижения производительности.
- Надежная безопасность на основе оборудования. Шифрование всегда включено , и ключи для шифрования никогда не покидают жесткий диск. Проверка подлинности пользователя выполняется диском до его разблокировки независимо от операционной системы.
- Простота использования. Шифрование прозрачно для пользователя, и пользователю не нужно включать его. Зашифрованные жесткие диски легко стираются с помощью встроенного ключа шифрования; нет необходимости повторно шифровать данные на диске
- Снижение стоимости владения. Нет необходимости в новой инфраструктуре для управления ключами шифрования, так как BitLocker использует существующую инфраструктуру для хранения сведений о восстановлении. Устройство работает более эффективно, так как для процесса шифрования не требуется использовать циклы процессора.
Зашифрованные жесткие диски изначально поддерживаются в операционной системе с помощью следующих механизмов:
- Идентификация. Операционная система определяет, что диск является типом зашифрованного жесткого диска .
- Активация: служебная программа управления дисками операционной системы активирует, создает и сопоставляет тома с диапазонами и диапазонами соответствующим образом.
- Конфигурация. Операционная система создает и сопоставляет тома с диапазонами и диапазонами соответствующим образом
- API: поддержка API для приложений для управления зашифрованными жесткими дисками независимо от шифрования диска BitLocker
- Поддержка BitLocker. Интеграция с BitLocker панель управления обеспечивает простой пользовательский интерфейс BitLocker
Warning
Самошифруемые жесткие диски и зашифрованные жесткие диски для Windows не являются одинаковыми типами устройств:
- для зашифрованных жестких дисков Windows требуется соответствие определенным протоколам TCG, а также соответствие требованиям IEEE 1667
- Для самошифрующихся жестких дисков нет этих требований
При планировании развертывания важно убедиться, что тип устройства является зашифрованным жестким диском Windows.
Когда операционная система определяет зашифрованный жесткий диск, она активирует режим безопасности. Эта активация позволяет контроллеру диска создать ключ мультимедиа для каждого тома, создаваемого главным компьютером. Ключ мультимедиа, который никогда не предоставляется за пределами диска, используется для быстрого шифрования или расшифровки каждого байта данных, отправляемых или полученных с диска.
Если вы являетесь поставщиком запоминающих устройств и ищете дополнительные сведения о том, как реализовать зашифрованный жесткий диск, см. руководство по устройству с зашифрованным жестким диском.
Требования к системе
Для использования зашифрованных жестких дисков применяются следующие требования к системе:
Для зашифрованного жесткого диска, используемого в качестве диска данных:
- Диск должен находиться в неинициализированном состоянии
- Диск должен находиться в неактивном состоянии системы безопасности
Для зашифрованного жесткого диска, используемого в качестве начального диска:
- Диск должен находиться в неинициализированном состоянии
- Диск должен находиться в неактивном состоянии системы безопасности
- Компьютер должен быть основан на UEFI 2.3.1 и иметь определенный
EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL
. Этот протокол используется, чтобы разрешить программам, работающим в среде загрузочных служб EFI, отправлять на диск команды протокола безопасности. - На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
- Компьютер всегда должен загружаться в собственном коде из UEFI
Warning
Для правильной работы все зашифрованные жесткие диски должны быть подключены к контроллерам без RAID.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие зашифрованный жесткий диск.
Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
---|---|---|---|
Да | Да | Да | Да |
Лицензии на зашифрованные жесткие диски предоставляются следующими лицензиями:
Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
---|---|---|---|---|
Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Настройка зашифрованных жестких дисков в качестве начальных дисков
Чтобы настроить зашифрованные жесткие диски в качестве начальных дисков, используйте те же методы, что и стандартные жесткие диски:
- Развертывание с носителя: настройка зашифрованных жестких дисков происходит автоматически в процессе установки
- Развертывание из сети. Этот метод развертывания включает загрузку среды Предустановки Windows и использование средств создания образов для применения образа Windows из сетевого ресурса. При использовании этого метода необязательный компонент Расширенного хранилища должен быть включен в образ Windows PE. Включите этот компонент с помощью диспетчер сервера, Windows PowerShell или средства командной строки DISM. Если компонент отсутствует, настройка зашифрованных жестких дисков не работает
-
Развертывание с сервера. Этот метод развертывания включает загрузку PXE клиента с зашифрованными жесткими дисками. Настройка зашифрованных жестких дисков происходит автоматически в этой среде при добавлении компонента расширенного хранилища в загрузочный образ PXE. Во время развертывания параметр TCGSecurityActivationDisabled в
unattend.xml
управляет поведением шифрования зашифрованных жестких дисков. - Дублирование дисков. Этот метод развертывания включает использование ранее настроенных устройств и средств дублирования дисков для применения образа Windows к зашифрованным жестким дискам. Образы, сделанные с помощью дубликаторов дисков, не работают
Настройка аппаратного шифрования с помощью параметров политики
Существует три параметра политики для управления тем, как BitLocker использует аппаратное шифрование и какие алгоритмы шифрования следует использовать. Если эти параметры не настроены или отключены в системах, оснащенных зашифрованными дисками, BitLocker использует программное шифрование:
- Настройка использования аппаратного шифрования для фиксированных дисков данных
- Настройка использования аппаратного шифрования для съемных дисков с данными
- Настройка использования аппаратного шифрования для дисков операционной системы
Архитектура зашифрованного жесткого диска
Зашифрованные жесткие диски используют два ключа шифрования на устройстве для управления блокировкой и разблокировки данных на диске. К этим ключам шифрования относятся ключ шифрования данных (DEK) и ключ проверки подлинности (AK):
- Ключ шифрования данных используется для шифрования всех данных на диске. Диск создает DEK и никогда не покидает устройство. Он хранится в зашифрованном формате в случайном расположении на диске. Если dek изменен или удален, данные, зашифрованные с помощью DEK, невосстановимы.
- AK — это ключ, используемый для разблокировки данных на диске. Хэш ключа хранится на диске и требует подтверждения для расшифровки ключа DEK.
Когда устройство с зашифрованным жестким диском находится в выключенном состоянии, диск автоматически блокируется. Когда устройство включается, устройство остается в заблокированном состоянии и разблокируется только после того, как AK расшифровывает DEK. После того как AK расшифровывает DEK, на устройстве могут выполняться операции чтения и записи.
Когда данные записываются на диск, они проходят через подсистему шифрования до завершения операции записи. Аналогичным образом для чтения данных с диска требуется, чтобы модуль шифрования расшифровыл эти данные перед передачей данных обратно пользователю. Если ak необходимо изменить или удалить, данные на диске не требуется повторно шифровать. Необходимо создать новый ключ проверки подлинности, который повторно шифрует deK. После завершения dek теперь можно разблокировать с помощью нового AK, и чтение и запись в том можно продолжить.
Перенастройка зашифрованных жестких дисков
Многие зашифрованные жесткие диски предварительно настроены для использования. Если требуется перенастройка диска, выполните следующую процедуру после удаления всех доступных томов и восстановления диска в неинициализированное состояние:
- Открыть управление дисками (
diskmgmt.msc
) - Инициализация диска и выбор соответствующего стиля секции (MBR или GPT)
- Создайте один или несколько томов на диске.
- Используйте мастер настройки BitLocker, чтобы включить BitLocker на томе.