加密硬盘驱动器

加密硬盘驱动器使用 BitLocker 驱动器加密提供的快速加密来增强数据安全性和管理。

通过将加密操作卸载到硬件,加密硬盘驱动器可以提高 BitLocker 性能并减少 CPU 使用率和功耗。 由于加密的硬盘驱动器可以快速加密数据,因此企业设备可以扩展 BitLocker 部署,对工作效率的影响最小。

加密硬盘驱动器是在硬件级别进行自加密并允许完全磁盘硬件加密的一类新硬盘驱动器。 从Windows 8和Windows Server 2012开始,无需进行其他修改即可将 Windows 安装到加密硬盘驱动器。

加密硬盘驱动器提供:

  • 更好的性能:集成到驱动器控制器中的加密硬件允许驱动器以完整数据速率运行,且不会降低性能。
  • 基于硬件的强安全性:加密始终“打开”,用于加密的密钥永远不会离开硬盘驱动器。 用户身份验证在驱动器解锁之前由驱动器执行(独立于操作系统)
  • 易用性:加密对用户是透明的,用户不需要启用它。 使用板载加密密钥轻松擦除加密的硬盘驱动器;无需重新加密驱动器上的数据。
  • 降低拥有成本:无需使用新的基础结构来管理加密密钥,因为 BitLocker 使用现有基础结构来存储恢复信息。 你的设备可更高效地运行,因为处理器周期无需用于加密过程。

通过以下机制在操作系统中本机支持加密的硬盘驱动器:

  • 标识:操作系统标识驱动器是加密的硬盘驱动器设备类型。
  • 激活:操作系统磁盘管理实用工具根据需要激活、创建卷并将其映射到范围/波段。
  • 配置:操作系统根据需要创建卷并将其映射到范围/带区。
  • API:API 支持应用程序管理与 BitLocker 驱动器加密无关的加密硬盘驱动器 (BDE) 。
  • BitLocker 支持:与 BitLocker 控制面板集成可提供无缝的 BitLocker 最终用户体验。

警告

自加密硬盘驱动器和适用于 Windows 的加密硬盘驱动器不是同一类型的设备。 适用于 Windows 的加密硬盘驱动器要求符合特定 TCG 协议以及 IEEE 1667 合规性;自加密硬盘驱动器没有这些要求。 在规划部署时,请务必确认设备类型是适用于 Windows 的加密硬盘驱动器。

如果你是存储设备供应商,正在寻找有关如何实现加密硬盘驱动器的详细信息,请参阅 加密硬盘驱动器设备指南

Windows 版本和许可要求

下表列出了支持加密硬盘驱动器的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

加密硬盘许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

系统要求

若要使用加密硬盘驱动器,需要满足以下系统要求:

对于用作 数据驱动器的加密硬盘驱动器:

  • 驱动器必须处于未初始化状态。
  • 驱动器必须处于安全非活动状态。

对于用作 启动驱动器的加密硬盘驱动器:

  • 驱动器必须处于未初始化状态。
  • 驱动器必须处于安全非活动状态。
  • 计算机必须基于 UEFI 2.3.1 并定义EFI_STORAGE_SECURITY_COMMAND_PROTOCOL。 (此协议用于允许在 EFI 启动服务环境中运行的程序将安全协议命令发送到驱动器) 。
  • 计算机必须具有兼容性支持模块 (CSM) 在 UEFI 中禁用。
  • 计算机必须始终从 UEFI 本机启动。

警告

所有加密的硬盘驱动器必须连接到非 RAID 控制器才能正常工作。

技术概述

BitLocker 中的快速加密直接满足了企业的安全需求,同时提高了性能。 在早于 Windows Server 2012 的 Windows 版本中,BitLocker 需要一个两步过程才能完成读/写请求。 在 Windows Server 2012、Windows 8 或更高版本中,加密的硬盘驱动器会将加密操作卸载到驱动器控制器,以提高效率。 当操作系统标识加密的硬盘驱动器时,它会激活安全模式。 此激活允许驱动器控制器为主计算机创建的每个卷生成媒体密钥。 此媒体密钥永远不会在磁盘外部公开,用于快速加密或解密从磁盘发送或接收的每个字节数据。

将加密硬盘驱动器配置为启动驱动器

使用与标准硬盘驱动器相同的方法将加密硬盘驱动器配置为启动驱动器。 这些方法包括:

  • 从媒体部署:加密硬盘驱动器的配置在安装过程中自动进行。
  • 从网络部署:此部署方法涉及启动 Windows PE 环境,并使用映像工具从网络共享应用 Windows 映像。 使用此方法时,Windows PE 映像中需要包含增强存储可选组件。 可以使用 服务器管理器、Windows PowerShell 或 DISM 命令行工具启用此组件。 如果不存在此组件,则加密硬盘驱动器的配置将不起作用。
  • 从服务器部署:此部署方法涉及 PXE 启动存在加密硬盘驱动器的客户端。 将增强存储组件添加到 PXE 启动映像时,加密硬盘驱动器的配置会自动在此环境中进行。 在部署期间,unattend.xml 中的 TCGSecurityActivationDisabled 设置控制加密硬盘驱动器的加密行为。
  • 磁盘重复:此部署方法涉及使用以前配置的设备和磁盘复制工具将 Windows 映像应用到加密硬盘驱动器。 必须至少使用Windows 8或Windows Server 2012对磁盘进行分区,此配置才能正常工作。 使用磁盘复制器制作的映像不起作用。

使用组策略配置基于硬件的加密

有三个相关的组策略设置可帮助你管理 BitLocker 如何使用基于硬件的加密以及要使用的加密算法。 如果未在配备加密驱动器的系统上配置或禁用这些设置,BitLocker 将使用基于软件的加密:

加密硬盘体系结构

加密的硬盘驱动器利用设备上的两个加密密钥来控制驱动器上数据的锁定和解锁。 这些加密密钥是 DEK) (数据加密密钥,是 AK) (身份验证密钥。

数据加密密钥是用于加密驱动器上所有数据的密钥。 驱动器生成 DEK,它永远不会离开设备。 它以加密格式存储在驱动器上的随机位置。 如果 DEK 发生更改或擦除,则使用 DEK 加密的数据不可恢复。

AK 是用于解锁驱动器上的数据的密钥。 密钥的哈希存储在驱动器上,需要确认才能解密 DEK。

当具有加密硬盘驱动器的计算机处于关闭状态时,驱动器会自动锁定。 当计算机打开时,设备将保持锁定状态,并且仅在 AK 解密 DEK 后才会解锁。 AK 解密 DEK 后,可以在设备上执行读写操作。

将数据写入驱动器时,它会在写入操作完成之前通过加密引擎。 同样,从驱动器读取数据需要加密引擎在将该数据传递回用户之前解密数据。 如果需要更改或擦除 AK,则无需重新加密驱动器上的数据。 需要创建新的身份验证密钥,它将重新加密 DEK。 完成后,现在可以使用新的 AK 解锁 DEK,并且可以继续对卷进行读写。

重新配置加密硬盘驱动器

许多加密的硬盘驱动器设备已预先配置以供使用。 如果需要重新配置驱动器,请在删除所有可用卷并将驱动器还原为未初始化状态后使用以下过程:

  1. 打开磁盘管理 (diskmgmt.msc)
  2. 初始化磁盘, (MBR 或 GPT) 选择适当的分区样式
  3. 在磁盘上创建一个或多个卷。
  4. 使用 BitLocker 设置向导在卷上启用 BitLocker。