Зашифрованный жесткий диск

Область применения

  • Windows 10
  • WindowsServer2019
  • WindowsServer2016

Зашифрованный жесткий диск использует быстрое шифрование, предоставляемое шифрованием дисков BitLocker, для повышения безопасности и управления данными.

Путем передачи криптографических операций в оборудование функция "Зашифрованный жесткий диск" повышает производительность BitLocker и снижает потребление ресурсов ЦП и электроэнергии. Благодаря тому, что функция зашифрованных жестких дисков быстро шифрует данные, устройства организации могут расширять развертывания BitLocker с минимальным влиянием на производительность.

Зашифрованные жесткие диски — это новый класс жестких дисков, которые самошифруются на уровне оборудования и поддерживают полное аппаратное шифрование. Вы можете установить Windows на зашифрованные жесткие диски без дополнительных изменений, начиная с Windows 8 и Windows Server 2012.

Зашифрованные жесткие диски предоставляют следующие возможности:

  • Улучшенная производительность: Шифрование оборудования, встроенное в контроллер диска, позволяет диску работать на полную скорость передачи данных без ухудшения производительности.
  • Надежная безопасность, основанная на оборудовании: шифрование всегда имеет значение Вкл., а ключи для шифрования никогда не оставляют жесткого диска. Проверка подлинности пользователей выполняется диском, прежде чем он снимет блокировку (независимо от операционной системы).
  • Простота использования: шифрование прозрачно для пользователя, и пользователю не нужно его включать. Зашифрованные жесткие диски легко удаляются с помощью встроенного ключа шифрования; нет необходимости повторно шифровать данные на диске.
  • Низкая стоимость владения: не требуется новая инфраструктура для управления ключами шифрования, так как BitLocker использует существующую инфраструктуру для хранения данных восстановления. Ваше устройство работает более эффективно, так как циклы процессора не требуется использовать для процесса шифрования.

Зашифрованные жесткие диски поддерживаются в операционной системе с помощью следующих механизмов:

  • Идентификация: операционная система может определить, что диск является зашифрованным устройством с жестким диском.
  • Активация: Программа управления дисками операционной системы может активировать, создавать и сопоставлять тома для диапазонов и интервалов по мере необходимости.
  • Настройка: операционная система может создавать и сопоставлять тома на диапазоны и полосы, как нужно
  • API: поддержка API для приложений, предназначенных для управления шифрованными жесткими дисками независимо от шифрования диска BitLocker (BDE)
  • Поддержка BitLocker: интеграция с помощью панели управления BitLocker обеспечивает эффективное взаимодействие с конечным пользователем BitLocker.

Предупреждение

Жесткие диски с самошифрованием и зашифрованными жесткими дисками для Windows не являются устройствами одинакового типа. Для Windows с шифрованием жестких дисков требуется соответствие конкретным протоколам TCG и требованиям IEEE 1667; Эти требования не распространяются на Самошифрование жестких дисков. Важно подтвердить, что тип устройства является зашифрованным жестким диском для Windows при планировании развертывания.

Если вы являетесь поставщиком устройства хранения данных для получения дополнительных сведений о том, как реализовать шифрование на жестком диске, ознакомьтесь с руководством по устройствам на жестком дискес шифрованием.

Системные требования

Для использования зашифрованных жестких дисков применяются следующие требования к системе.

Для зашифрованного жесткого диска, используемого в качестве устройства для данных:

  • Диск должен находиться в неинициализированном состоянии.
  • Диск должен находиться в неактивном состоянии безопасности.

Для зашифрованного жесткого диска, используемого в качестве загрузочного диска, выполните указанные ниже действия.

  • Диск должен находиться в неинициализированном состоянии.
  • Диск должен находиться в неактивном состоянии безопасности.
  • На основе этого компьютера должен быть установлен интерфейс UEFI 2.3.1 и определен EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется для того, чтобы программы, запущенные в среде служб загрузки EFI, отправляли команды протокола безопасности на диск).
  • На компьютере должен быть отключен модуль поддержки совместимости (КСМ) в UEFI.
  • Компьютер должен всегда загружаться с UEFI.

Предупреждение

Для правильной работы все зашифрованные жесткие диски должны быть подключены к контроллерам не-RAID.

Технический обзор

Быстрое шифрование в BitLocker — это прямой адрес, необходимый для предприятий, в то же время обеспечивая значительно повышенный уровень производительности. В версиях Windows, более ранних, чем Windows Server 2012, для выполнения запросов на чтение и запись BitLocker требуется процесс из двух шагов. В Windows Server 2012, Windows 8 или более поздних версиях зашифрованные жесткие диски разгружают криптографические операции на контроллер диска для более эффективной работы. Если операционная система идентифицирует зашифрованный жесткий диск, она активирует режим безопасности. Эта активация позволяет контроллеру диска создать ключ мультимедиа для каждого тома, созданного ведущим компьютером. Этот ключ мультимедиа, который никогда не отображается за пределами диска, используется для быстрого шифрования и расшифровки каждого байта данных, отправляемого или получаемого с диска.

Настройка зашифрованных жестких дисков в качестве загрузочных дисков

Настройка зашифрованных жестких дисков в качестве загрузочных дисков выполняется с помощью тех же способов, что и стандартные жесткие диски. Ниже перечислены эти методы.

  • Развертывание с носителя: Настройка зашифрованных жестких дисков выполняется автоматически при установке.
  • Развертывание из сети: вэтом методе развертывания предполагается загрузка среды Windows PE и использование средств обработки изображений для применения образа Windows из сетевого общего доступа. С помощью этого метода дополнительный компонент Enhanced Storage необходимо включить в образ Windows PE. Вы можете включить этот компонент с помощью диспетчера серверов, Windows PowerShell или средства командной строки DISM. Если этот компонент не указан, Настройка зашифрованных жестких дисков не будет работать.
  • Развертывание с сервера: вэтом методе развертывания предполагается загрузка клиента с помощью протокола PXE, на котором находятся зашифрованные жесткие диски. Настройка зашифрованных жестких дисков происходит автоматически в этой среде, когда компонент Enhanced Storage добавляется в загрузочный образ PXE. Во время развертывания параметр ткгсекуритяктиватиондисаблед в файле Unattend. XML управляет поведением шифрования зашифрованных жестких дисков.
  • Дублирование дисков. Этот метод развертывания включает использование ранее настроенных средств дублирования устройств и дисков для применения образа Windows к зашифрованному жесткому диску. Для использования этой конфигурации диски должны быть разделены в Windows 8 или Windows Server 2012. Изображения, созданные с помощью дублирования дисков, работать не будут.

Настройка аппаратного шифрования с помощью групповой политики

Существуют три связанные параметры групповой политики, которые помогут вам управлять тем, как BitLocker использует аппаратный енвриптион и какие алгоритмы шифрования следует использовать. Если эти параметры не настроены или отключены для систем, которые оснащены зашифрованными дисками, BitLocker использует программное шифрование.

Архитектура с шифрованием жестких дисков

Зашифрованные жесткие диски используют два ключа шифрования на устройстве, чтобы управлять блокировкой и разблокировкой данных на диске. Это ключ шифрования данных (Дек) и ключ проверки подлинности (АК).

Ключ шифрования данных — это ключ, который используется для шифрования всех данных на диске. Диск генерирует дек, и он не покидает устройство. Файл сохраняется в зашифрованном формате в случайном месте на диске. При изменении или удалении Дек данные, зашифрованные с помощью дек, — иррековерабле.

Ключ проверки подлинности — ключ, который используется для разблокировки данных на диске. Хэш ключа хранится на диске и требует подтверждения для расшифровки дек.

Если компьютер с зашифрованным жестким диском находится в отключенном состоянии, диск блокируется автоматически. При включении компьютера устройство остается в заблокированном состоянии и разблокируется только после того, как ключ проверки подлинности расшифровывает ключ шифрования данных. После того как ключ проверки подлинности расшифровывает ключ шифрования данных, на устройстве могут выполняться операции чтения и записи.

При записи данных на диск оно проходит через обработчик шифрования перед завершением операции записи. Аналогичным образом, при чтении данных с устройства требуется, чтобы средство шифрования расшифровывать данные перед передачей их пользователю. В случае, если Дек нужно изменить или удалить, данные на диске не нужно будет повторно шифровать. Необходимо создать новый ключ проверки подлинности, и он будет повторно зашифровывать дек. После того как вы завершите работу, дек можно будет разблокировать с помощью нового АК, а чтение и запись на диск может быть продолжено.

Повторная настройка зашифрованных жестких дисков

Многие зашифрованные жесткие диски уже настроены для использования. Если требуется перенастройка диска, выполните описанные ниже действия, чтобы удалить все доступные тома и вернуть диск в неинициализированное состояние.

  1. Открытие оснастки «Управление дисками» (дискмгмт. msc)
  2. Инициализация диска и выбор соответствующего стиля разделов (MBR или GPT)
  3. Создайте один или несколько томов на диске.
  4. С помощью мастера настройки BitLocker включите на томе BitLocker.