Disco rigido crittografato

Si applica a

  • Windows 10
  • Windows Server 2019
  • WindowsServer 2016

Il disco rigido crittografato usa la crittografia rapida fornita dalla crittografia unità BitLocker per migliorare la sicurezza e la gestione dei dati.

Mediante l'offload delle operazioni di crittografia nell'hardware, i dischi rigidi crittografati migliorano le prestazioni di BitLocker e riducono l'utilizzo della CPU e il consumo energetico. Poiché i dischi rigidi crittografati eseguono la crittografia dei dati rapidamente, i dispositivi aziendali possono espandere la distribuzione di BitLocker con un impatto minimo sulla produttività.

I dischi rigidi crittografati sono una nuova classe di dischi rigidi autocrittografati a livello hardware e consentono la crittografia completa dei dischi hardware. È possibile installare Windows in dischi rigidi crittografati senza ulteriori modifiche a partire da Windows 8 e Windows Server 2012.

I dischi rigidi crittografati garantiscono:

  • Prestazioni migliori: l'hardware di crittografia, integrato nel controller dell'unità, consente all'unità di funzionare a piena velocità di dati senza degrado delle prestazioni.
  • Sicurezza avanzata basata sull'hardware: la crittografia è sempre "attivata" e le chiavi per la crittografia non lasciano mai il disco rigido. L'autenticazione utente viene eseguita da un'unità prima dello sblocco, indipendentemente dal sistema operativo.
  • Facilità d'uso: la crittografia è trasparente per l'utente e l'utente non deve abilitarla. I dischi rigidi crittografati possono essere cancellati facilmente usando la chiave di crittografia incorporata e non è necessario crittografare nuovamente i dati nell'unità.
  • Costo inferiore della proprietà: non è necessario che la nuova infrastruttura gestisca le chiavi di crittografia, poiché BitLocker sfrutta l'infrastruttura esistente per archiviare le informazioni di ripristino. Il dispositivo funziona in modo più efficiente perché i cicli del processore non devono essere usati per il processo di crittografia.

I dischi rigidi crittografati sono supportati nativamente nel sistema operativo attraverso i meccanismi seguenti:

  • Identificazione: il sistema operativo può identificare che l'unità è un tipo di dispositivo con disco rigido crittografato
  • Attivazione: l'utilità Gestione disco del sistema operativo può attivare, creare e mappare volumi a intervalli/bande in base alle esigenze
  • Configurazione: il sistema operativo può creare e mappare i volumi a intervalli/bande in base alle esigenze
  • API: supporto delle API per le applicazioni per gestire le unità disco rigido crittografate in modo indipendente dalla crittografia unità BITLOCKER (BDE)
  • Supporto di BitLocker: l'integrazione con il pannello di controllo di BitLocker offre un'esperienza utente finale di BitLocker senza soluzione di continuità.

Avviso

I dischi rigidi autocrittografati e i dischi rigidi crittografati per Windows non sono dello stesso tipo di dispositivo. I dischi rigidi crittografati per Windows richiedono la conformità per specifici protocolli TCG e per la conformità a IEEE 1667; I dischi rigidi con crittografia automatica non hanno questi requisiti. È importante verificare che il tipo di dispositivo sia un disco rigido crittografato per Windows quando si pianifica la distribuzione.

Se si è un fornitore di dispositivi di archiviazione che cerca altre informazioni su come implementare il disco rigido crittografato, vedere la guida al dispositivo con disco rigido crittografato.

Requisiti di sistema

Per usare dischi rigidi crittografati, applicare i requisiti di sistema seguenti:

Per un disco rigido crittografato usato come unità dati:

  • L'unità deve essere in uno stato non inizializzato.
  • L'unità deve essere in uno stato di sicurezza inattiva.

Per un disco rigido crittografato usato come unità di avvio:

  • L'unità deve essere in uno stato non inizializzato.
  • L'unità deve essere in uno stato di sicurezza inattiva.
  • Il computer deve essere basato su UEFI 2.3.1 e avere la EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definita. Questo protocollo viene usato per consentire ai programmi in uso nell'ambiente di servizi di avvio EFI di inviare comandi per il protocollo di sicurezza all'unità.
  • Il computer deve avere il modulo di supporto per la compatibilità (CSM) disabilitato in UEFI.
  • Il computer deve sempre eseguire l'avvio in modalità nativa da UEFI.

Avviso

Tutti i dischi rigidi crittografati devono essere collegati ai controller non RAID per funzionare correttamente.

Panoramica tecnica

La crittografia rapida in BitLocker risolve direttamente le esigenze di sicurezza delle aziende offrendo prestazioni notevolmente migliorate. Nelle versioni di Windows precedenti a Windows Server 2012, BitLocker richiedeva un processo in due passaggi per completare le richieste di lettura/scrittura. In Windows Server 2012, Windows 8 o versioni successive, i dischi rigidi crittografati scaricano le operazioni crittografiche nel controller dell'unità per un'efficienza molto maggiore. Quando il sistema operativo identifica un disco rigido crittografato, attiva la modalità di sicurezza. Questa attivazione consente al controller di unità di generare un tasto multimediale per ogni volume creato dal computer host. Questo tasto multimediale, che non viene mai esposto all'esterno del disco, viene usato per crittografare o decrittografare rapidamente ogni byte di dati inviati o ricevuti dal disco.

Configurazione di dischi rigidi crittografati come unità di avvio

La configurazione dei dischi rigidi crittografati come unità di avvio viene eseguita con gli stessi metodi dei dischi rigidi standard. Questi metodi includono:

  • Distribuire da elementi multimediali: la configurazione dei dischi rigidi crittografati avviene automaticamente tramite il processo di installazione.
  • Distribuire dalla rete: questo metodo di distribuzione prevede l'avvio di un ambiente Windows PE e l'uso di strumenti di imaging per applicare un'immagine Windows da una condivisione di rete. Usando questo metodo, il componente facoltativo di archiviazione avanzata deve essere incluso nell'immagine di Windows PE. Puoi abilitare questo componente usando Server Manager, Windows PowerShell o lo strumento della riga di comando DISM. Se il componente non è presente, la configurazione delle unità disco rigido crittografate non funzionerà.
  • Deploy from server: questo metodo di distribuzione prevede l'avvio di un client con dischi rigidi crittografati PXE. La configurazione dei dischi rigidi crittografati avviene automaticamente in questo ambiente quando il componente di archiviazione avanzata viene aggiunto all'immagine di avvio PXE. Durante la distribuzione, l'impostazione TCGSecurityActivationDisabled in Unattend. XML controlla il comportamento di crittografia dei dischi rigidi crittografati.
  • Duplicazione disco: questo metodo di distribuzione prevede l'uso di un dispositivo configurato in precedenza e di strumenti di duplicazione del disco per applicare un'immagine Windows a un disco rigido crittografato. I dischi devono essere partizionati con almeno Windows 8 o Windows Server 2012 affinché questa configurazione funzioni. Le immagini effettuate con i duplicatori del disco non funzionano.

Configurazione della crittografia basata su hardware con criteri di gruppo

Sono disponibili tre impostazioni di criteri di gruppo correlate che consentono di gestire il modo in cui BitLocker usa envryption basato su hardware e gli algoritmi di crittografia da usare. Se queste impostazioni non sono configurate o disabilitate nei sistemi dotati di unità crittografate, BitLocker usa la crittografia basata su software:

Architettura del disco rigido crittografato

I dischi rigidi crittografati usano due chiavi di crittografia nel dispositivo per controllare il blocco e lo sblocco dei dati nell'unità. Queste sono la chiave di crittografia dei dati e la chiave di autenticazione (AK).

La chiave di crittografia dei dati è la chiave usata per crittografare tutti i dati nell'unità. L'unità genera il decrittografia e non lascia mai il dispositivo. Viene archiviato in un formato crittografato in una posizione casuale nell'unità. Se la proprietà di decrittografia viene modificata o eliminata, i dati crittografati con la proprietà di decrittografia sono irrecuperabili.

La chiave di autenticazione è la chiave usata per sbloccare i dati nell'unità. Un hash della chiave viene archiviato nell'unità e richiede la conferma per decrittografare la crittografia.

Quando un computer con un disco rigido crittografato si trova in uno stato spento, l'unità si blocca automaticamente. Quando si alimenta un computer, il dispositivo rimane bloccato e viene sbloccato solo dopo che la chiave di autenticazione decrittografa la chiave di crittografia dei dati. Dopo che la chiave di autenticazione ha decrittografato la chiave di crittografia dei dati, le operazioni di lettura e scrittura possono avvenire nel dispositivo.

Quando si scrivono dati nell'unità, passa attraverso un motore di crittografia prima che l'operazione di scrittura venga completata. Allo stesso modo, la lettura dei dati dall'unità richiede il motore di crittografia per decrittografare i dati prima di riportare i dati all'utente. Nel caso in cui la proprietà di decrittografia debba essere modificata o eliminata, non è necessario che i dati dell'unità vengano crittografati di nuovo. È necessario creare una nuova chiave di autenticazione e crittografare di nuovo la crittografia. Una volta completato, il decrittografia ora può essere sbloccato usando il nuovo AK e la lettura-scrittura al volume può continuare.

Ripetizione della configurazione di dischi rigidi crittografati

Molti dispositivi crittografati per dischi rigidi vengono preconfigurati per l'uso. Se è necessaria la riconfigurazione dell'unità, eseguire la procedura seguente dopo aver rimosso tutti i volumi disponibili e aver ripristinato l'unità in uno stato non inizializzato:

  1. Aprire Gestione disco (diskmgmt. msc)
  2. Inizializzare il disco e selezionare lo stile di partizione appropriato (MBR o GPT)
  3. Creare uno o più volumi sul disco.
  4. Usare la configurazione guidata di BitLocker per abilitare BitLocker nel volume.