Podpora za strojno opremo BitLocker na SSD diskih SED

Številni sodobni trdi diski (vključno s SSD diski) podpirajo tehnologijo samo šifriranje, zasnovan za zaščito uporabniških podatkov. Pokličejo se diski, ki podpirajo šifriranje na ravni krmilnika SED pogoni (samo šifriranje pogonov). Algoritem šifriranja s simetričnim ključem je izveden v strojni opremi na ravni diskovnega regulatorja. Pri pisanju na disk se vsi podatki šifrirajo, ob branju pa se dešifrirajo in so z vidika uporabnika popolnoma pregledni. Windows 8 in Windows Server 2012 lahko uporabljata strojno funkcionalnost pogonov SED za šifriranje podatkov BitLocker, s čimer razbremeni procesor in zmanjša skupno porabo energije sistema.

Pri uporabi pogona SED s šifriranjem in BitLockerja v sistemu Windows 7/2008 so podatki na pogonu v bistvu dvakrat šifrirani, na ravni OS BitLocker izvede šifriranje in nato krmilnik pogona šifrira iste podatke. Ni zelo učinkovit ...

V BitLockerju v sistemu Windows 8 / Windows Server 2012 Sedaj lahko procesor izvlečete s prenosom funkcije šifriranja na krmilnik trdega diska. Po različnih ocenah prenos funkcij šifriranja BitLocker na krmilnik diska SED poveča delovanje sistema za 15-29%. Poleg tega se ob prehodu na šifriranje strojne opreme poveča življenjska doba baterij in njihova življenjska doba (Kako preveriti stanje baterije v sistemu Windows 8).

S šifriranjem strojne opreme BitLocker se varnost sistema poveča zaradi dejstva, da šifrirni ključ ni več shranjen v računalnikovem pomnilniku, zato pomnilnik računalnika ne more biti več potencialni vektor napada

Microsoft je določil poseben standard Microsoft eDrive, Opisovanje zahtev za pogone SED za uporabo z BitLockerjem. eDrive temelji na specifikacijah TCG OPAL in IEEE 1667.

Ko uporabljate SED diske, ki podpirajo standard eDrive, pogon izvaja enkripcijo med letenjem in padec delovanja sistema med delovanjem BitLockerja skoraj popolnoma izgine (v primerjavi s šifriranjem programske opreme BitLocker).

Sodeč po Microsoftovih opisih, uporaba šifriranja strojne opreme BitLocker na združljivih napravah ni težavna. A izkazalo se je, da prehod na šifriranje strojne opreme ni tako preprost. Nato pokažemo, kako omogočite podporo za šifriranje strojne opreme BitLocker na SSD-ju, Skladno z eDrive.

Namig. BitLocker ni podprt v manjših izdajah programa Win 8. Potrebujete vsaj Windows 8 Pro.

Da bi BitLocker lahko uporabil krmilnik trdega diska za šifriranje, mora okolje izpolnjevati naslednje zahteve.

Zahteve za zagonski sistem:

  • BitLocker podpira različice 1.2 in 2.0 TPM (in novejše). Poleg tega je potreben Microsoftov potrjeni gonilnik TPM.
  • Sistem mora temeljiti na UEFI 2.3.1 in podpirati EFI_STORAGE_SECURITY_COMMAND_PROTOCOL
  • Računalnik se mora zagnati v izvornem načinu UEFI (način podpore združljivosti CSM mora biti onemogočen)

Zahteve za podatkovni disk SED:

  • Diska se ne sme inicializirati
  • Šifriranje mora biti onemogočeno

V naši konfiguraciji poskušamo omogočiti šifriranje strojne opreme BitLocker na SSD-ju Samsung SSD 850 Pro (eDrive združljiv SSD). Za upravljanje parametrov SSD pogona bomo uporabili uradni pripomoček Samsung za delo s SSD pogoni - Samsung Čarovnik.

Če sistem izpolnjuje opisane pogoje, po Microsoftovem mnenju potem, ko vklopite BitLocker na SED disku, se funkcija krmilnika samodejno uporabi za šifriranje podatkov. Vendar se je težava pokazala v starejših različicah gonilnika Intel tehnologija hitrega shranjevanja (RST), to ne deluje. Delovna različica RST s pravilno podporo za BitLocker - 13.2.

  1. Preverimo trenutno različico gonilnika RST - v našem primeru je to 12.8.10.1005. Prenesite najnovejšo različico gonilnika RST (13.2.4.1000) iz Intel Download Center (https://downloadcenter.intel.com/download/24293) in namestite.

    Opomba. Če gonilnika RST ne posodobite, ko poskusite omogočiti zaščitni način na SSD disku v programu Samsung Magician, se prikaže napaka Ni uspelo do izvajati the delovanje naprej the izbrano disk . Ko poskusite z ukazom vzpostaviti prisilno uporabo šifriranja strojne opreme:

    Omogoči-BitLocker -MountPoint d: -TPMProtector -HardwareEncryption

    Prikaže se napaka:

    Set-BitLockerVolumeInternal: Navedeni pogon ne podpira šifriranja, ki temelji na strojni opremi. (Izjema od HRESULT: 0x803100B2)
  2. Vsebino pogona SSD bomo očistili tako, da bomo v zaporedju izvedli naslednje ukaze (podatki na drugem pogonu bodo izbrisani!):
    • diskpart
    • seznam diskov
    • izberite disk 1
    • čist
    Je pomembno. Disk 1 bo v celoti izbrisan. Prepričajte se, da določite indeks vašega SSD pogona. V našem primeru ima Samsung SSD 850 Pro indeks 1.
  3. Odprimo Samsung Magician in v razdelku Varnost podatkov vklopimo način šifriranja strojne opreme SSD s klikom na Pripravljeno, da omogočim.
  4. Po ponovnem zagonu preverite, ali je aktiviran način šifriranja diskov.
  5. Inicializirajte in formatirajte disk v konzoli za upravljanje diskov.

  6. Ostaja aktivirati BitLocker za disk kot običajno. V čarovniku za nastavitev določite, da želite šifrirati celotno vsebino diska (Šifriraj celoto pogon) V nasprotnem primeru bo uporabljeno šifriranje programske opreme BitLocker..
  7. Ostalo je preveriti, ali BitLocker zdaj uporablja šifriranje strojne opreme. To lahko storite samo iz ukazne vrstice (s skrbniškimi pravicami):Upravljanje-bde -status d:

    Naslednja vrstica kaže, da BitLocker uporablja šifriranje strojne opreme. Način šifriranja: Šifriranje strojne opreme - 1.3.111.2.1619.0.1.2

V prihodnosti bo ta disk SED mogoče uporabiti kot zagonski disk z namestitvijo sistema nanj. Vsakič, ko zaženete tak sistem, boste morali določiti Bitlocker ključ.