加密硬盘驱动器

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

概述

加密硬盘驱动器是在硬件级别自加密的一类硬盘驱动器，允许在对用户透明的同时进行完全磁盘硬件加密。 这些驱动器结合了 BitLocker 驱动器加密提供的安全性和管理优势，以及自加密驱动器的功能。

通过将加密操作卸载到硬件上，加密的硬盘驱动器将会增加 BitLocker 性能，并减少 CPU 使用率和电源消耗。 由于加密的硬盘驱动器能迅速地加密数据，企业设备可以在最小化生产效率影响的同时扩展 BitLocker 部署。

加密硬盘驱动器提供：

• 更好的性能：集成到驱动器控制器中的加密硬件允许驱动器以完整数据速率运行，且不会降低性能
• 基于硬件的强安全性：加密始终 处于打开状态 ，用于加密的密钥永远不会离开硬盘驱动器。 用户身份验证由驱动器在解锁之前执行，与操作系统无关
• 易用性：加密对用户是透明的，用户不需要启用它。 使用板载加密密钥可以轻松擦除加密的硬盘驱动器;无需重新加密驱动器上的数据
• 降低拥有成本：无需使用新的基础结构来管理加密密钥，因为 BitLocker 使用现有基础结构来存储恢复信息。 设备运行效率更高，因为无需将处理器周期用于加密过程

通过以下机制在操作系统中本机支持加密的硬盘驱动器：

• 标识：操作系统标识驱动器是 加密的硬盘驱动器 设备类型
• 激活：操作系统磁盘管理实用工具根据需要激活、创建卷并将其映射到范围/带
• 配置：操作系统根据需要创建卷并将其映射到范围/带
• API：支持应用程序管理独立于 BitLocker 驱动器加密的加密硬盘驱动器
• BitLocker 支持：与 BitLocker 控制面板集成提供无缝的 BitLocker 用户体验

警告

适用于 Windows 的自加密硬盘驱动器 和 加密硬盘驱动器 不是同一类型的设备：

• 适用于 Windows 的加密硬盘驱动器要求符合特定 TCG 协议以及 IEEE 1667 合规性
• 自加密硬盘驱动器没有这些要求

在规划部署时，请务必确认设备类型是否为适用于 Windows 的加密硬盘驱动器。

当操作系统标识加密的硬盘驱动器时，它会激活 安全模式。 此激活允许驱动器控制器为主计算机创建的每个卷生成 媒体密钥 。 媒体密钥永远不会在磁盘外部公开，用于快速加密或解密从磁盘发送或接收的每个字节数据。

如果你是存储设备供应商，正在寻找有关如何实现加密硬盘驱动器的详细信息，请参阅 加密的硬盘驱动器设备指南。

系统要求

若要使用加密硬盘驱动器，需要满足以下系统要求：

对于用作 数据驱动器的加密硬盘驱动器：

• 驱动器必须处于未初始化状态
• 驱动器必须处于安全非活动状态

对于用作 启动驱动器的加密硬盘驱动器：

• 驱动器必须处于未初始化状态
• 驱动器必须处于安全非活动状态
• 计算机必须基于 UEFI 2.3.1 并已 EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL 定义 。 此协议用于允许在 EFI 启动服务环境中运行的程序向驱动器发送安全协议命令
• 计算机必须具有兼容性支持模块 (CSM) 在 UEFI 中禁用
• 计算机必须始终从 UEFI 本机启动

警告

所有加密的硬盘驱动器必须连接到非 RAID 控制器才能正常工作。

Windows 版本和许可要求

下表列出了支持加密硬盘驱动器的 Windows 版本：

Windows 专业版	Windows 企业版	Windows 专业教育版/SE	Windows 教育版
是	是	是	是

加密硬盘许可证权利由以下许可证授予：

Windows 专业版/专业教育版/SE	Windows 企业版 E3	Windows 企业版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

将加密硬盘驱动器配置为启动驱动器

若要将加密硬盘驱动器配置为启动驱动器，请使用与标准硬盘驱动器相同的方法：

• 从介质部署：在安装过程中自动配置加密的硬盘驱动器
• 从网络部署：此部署方法涉及启动 Windows PE 环境，并使用映像工具从网络共享应用 Windows 映像。 使用此方法时，Windows PE 映像中需要包含增强存储可选组件。 使用 服务器管理器、Windows PowerShell 或 DISM 命令行工具启用此组件。 如果该组件不存在，则加密硬盘驱动器的配置不起作用
• 从服务器部署：此部署方法涉及 PXE 启动具有加密硬盘驱动器的客户端。 将增强存储组件添加到 PXE 启动映像时，加密硬盘驱动器的配置会自动在此环境中进行。 在部署期间，中的 TCGSecurityActivationDisabled 设置 unattend.xml 控制加密硬盘驱动器的加密行为
• 磁盘重复：此部署方法涉及使用以前配置的设备和磁盘复制工具将 Windows 映像应用到加密的硬盘驱动器。 使用磁盘复制器制作的映像不起作用

使用策略设置配置基于硬件的加密

有三个策略设置用于管理 BitLocker 如何使用基于硬件的加密以及要使用的加密算法。 如果未在配备加密驱动器的系统上配置或禁用这些设置，BitLocker 将使用基于软件的加密：

• 配置对固定数据驱动器使用基于硬件的加密
• 配置对可移动数据驱动器使用基于硬件的加密
• 配置对操作系统驱动器使用基于硬件的加密

加密硬盘体系结构

加密的硬盘驱动器利用设备上的两个加密密钥来控制驱动器上数据的锁定和解锁。 这些加密密钥是 数据加密密钥 (DEK) 和 身份验证密钥 (AK) ：

• 数据加密密钥用于加密驱动器上的所有数据。 驱动器生成 DEK，它永远不会离开设备。 它以加密格式存储在驱动器上的随机位置。 如果 DEK 发生更改或擦除，则使用 DEK 加密的数据不可恢复。
• AK 是用于解锁驱动器上的数据的密钥。 密钥的哈希存储在驱动器上，需要确认才能解密 DEK

当具有加密硬盘驱动器的设备处于关闭状态时，驱动器会自动锁定。 当设备打开时，设备将保持锁定状态，并且仅在 AK 解密 DEK 后才会解锁。 AK 解密 DEK 后，可以在设备上执行读写操作。

将数据写入驱动器时，它会在写入操作完成之前通过加密引擎。 同样，从驱动器读取数据需要加密引擎在将该数据传递回用户之前解密数据。 如果需要更改或擦除 AK，则无需重新加密驱动器上的数据。 需要创建新的身份验证密钥，并重新加密 DEK。 完成后，现在可以使用新的 AK 解锁 DEK，并且可以继续对卷进行读写。

重新配置加密的硬盘驱动器

许多加密的硬盘驱动器设备已预先配置以供使用。 如果需要重新配置驱动器，请在删除所有可用卷并将驱动器还原为未初始化状态后使用以下过程：

1. 打开磁盘管理 (diskmgmt.msc)
2. 初始化磁盘， (MBR 或 GPT) 选择适当的分区样式
3. 在磁盘上创建一个或多个卷。
4. 使用 BitLocker 设置向导在卷上启用 BitLocker。