Hardvérová podpora BitLocker na SED SSD

Mnoho moderných pevných diskov (vrátane SSD) podporuje technológiu vlastné šifrovanie, určené na ochranu údajov používateľa. Nazývajú sa disky podporujúce šifrovanie na úrovni radiča Jednotky SED (Self-Encrypting Drives). Šifrovací algoritmus so symetrickým kľúčom je implementovaný v hardvéri na úrovni radiča disku. Pri zápise na disk sú všetky údaje šifrované a pri čítaní sú dešifrované a sú absolútne transparentné z hľadiska používateľa. Windows 8 a Windows Server 2012 môžu používať hardvérové ​​funkcie jednotiek SED na šifrovanie údajov BitLocker, čím odľahčujú procesor a znižujú celkovú spotrebu energie systému.

Ak používate jednotku SED so šifrovaním a nástrojom BitLocker v systéme Windows 7/2008, údaje na jednotke sa v zásade šifrujú dvakrát, na úrovni operačného systému BitLocker vykoná šifrovanie a potom ovládač disku šifruje rovnaké údaje. Nie príliš efektívne ...

V BitLocker na Windows 8 / Windows Server 2012 Teraz môžete procesor uvoľniť prenosom šifrovacích funkcií do radiča pevného disku. Podľa rôznych odhadov prenos šifrovacích funkcií BitLocker do diskového radiča SED zvyšuje výkon systému o 15-29%. Okrem toho pri prechode na hardvérové ​​šifrovanie sa zvyšuje životnosť zariadení a ich životnosť (Ako skontrolovať stav batérie v systéme Windows 8).

Pri použití hardvérového šifrovania BitLocker sa zvyšuje bezpečnosť systému v dôsledku skutočnosti, že šifrovací kľúč už nie je uložený v pamäti počítača, a preto už nie je možné, aby jeho pamäť predstavovala potenciálny vektor útoku.

Spoločnosť Microsoft definovala špeciálny štandard Microsoft eDrive, Opis požiadaviek na jednotky SED na použitie s bitLockerom. eDrive Na základe štandardov TCG OPAL a IEEE 1667.

Pri použití diskov SED, ktoré podporujú štandard eDrive, jednotka vykoná šifrovanie za chodu a pokles výkonu systému počas operácie BitLocker takmer úplne zmizne (v porovnaní so šifrovaním softvéru BitLocker).

Podľa opisu spoločnosti Microsoft nie je používanie hardvérového šifrovania BitLocker na kompatibilných zariadeniach ťažké. Ukázalo sa však, že prechod na hardvérové ​​šifrovanie nie je taký jednoduchý. Ďalej ukážeme ako povoliť podporu hardvérového šifrovania BitLocker na SSD, kompatibilný s eDrive.

rada. BitLocker nie je podporovaný v menších vydaniach Win 8. Potrebujete najmenej Windows 8 Pro.

Aby mohol BitLocker používať radič pevného disku na šifrovanie, musí prostredie spĺňať nasledujúce požiadavky.

Požiadavky na zavádzací systém:

  • BitLocker podporuje TPM verzie 1.2 a 2.0 (a vyššie). Ďalej je potrebný ovládač Microsoft Certified TPM.
  • Systém musí byť založený na UEFI 2.3.1 a podporovať EFI_STORAGE_SECURITY_COMMAND_PROTOCOL
  • Počítač sa musí zaviesť v natívnom režime UEFI (režim podpory kompatibility CSM musí byť vypnutý)

Požiadavky na dátový disk SED SSD:

  • Disk sa nesmie inicializovať
  • Šifrovanie musí byť zakázané

V našej konfigurácii sa snažíme povoliť šifrovanie hardvéru BitLocker na SSD Samsung SSD 850 pre (kompatibilný s eDrive SSD). Na správu parametrov jednotky SSD použijeme na prácu s jednotkami SSD oficiálny nástroj Samsung - Samsung kúzelník.

Podľa myšlienky spoločnosti Microsoft, ak systém spĺňa opísané podmienky, potom po zapnutí nástroja BitLocker na disku SED sa automaticky použije funkcia radiča na šifrovanie údajov. Problémom sa však stal problém so staršími verziami ovládača Technológia Intel Rapid Storage (RST), toto nefunguje. Pracovná verzia RST so správnou podporou BitLocker - 13.2.

  1. Skontrolujte aktuálnu verziu ovládača RST - v našom prípade je to 12.8.10.1005. Stiahnite si najnovšiu verziu ovládača RST (13.2.4.1000) z Centra sťahovania Intel (https://downloadcenter.intel.com/download/24293) a nainštalujte.

    poznámka. Ak neaktualizujete ovládač RST, pri pokuse o povolenie režimu ochrany na jednotke SSD v programe Samsung Magician sa zobrazí chyba neúspešný na hrať operácie na vybraný disk . A keď sa pokúsite zistiť vynútené použitie hardvérového šifrovania pomocou príkazu:

    Enable-BitLocker -MountPoint d: -TPMProtector -HardwareEncryption

    Zobrazí sa chyba:

    Set-BitLockerVolumeInternal: Zadaná jednotka nepodporuje hardvérové ​​šifrovanie. (Výnimka z HRESULT: 0x803100B2)
  2. Obsah disku SSD vymažeme nasledujúcim spôsobom postupným vykonávaním nasledujúcich príkazov (údaje na druhom disku budú vymazané!):
    • diskpart
    • zoznam disku
    • vyberte disk 1
    • čistý
    Je dôležité. Disk 1 bude úplne vymazaný. Uistite sa, že ste zadali index jednotky SSD. V našom príklade má Samsung SSD 850 Pro index 1.
  3. Otvorme program Samsung Magician a v časti Zabezpečenie údajov zapnite režim šifrovania hardvéru SSD kliknutím na možnosť Pripravený.
  4. Po reštarte skontrolujte, či je aktivovaný režim šifrovania disku.
  5. Inicializujte a naformátujte disk v konzole Správa diskov.

  6. Zostáva aktivovať nástroj BitLocker pre disk ako zvyčajne. V sprievodcovi nastavením zadajte, že chcete šifrovať celý obsah disku (šifrovanie celý pohon). Inak sa použije šifrovanie softvéru BitLocker..
  7. Zostáva overiť, či BitLocker teraz používa hardvérové ​​šifrovanie. Môžete to urobiť iba z príkazového riadku (s právami správcu):Spravovať-bde -status d:

    Ďalší riadok naznačuje, že nástroj BitLocker používa hardvérové ​​šifrovanie. Metóda šifrovania: Hardvérové ​​šifrovanie - 1.3.111.2.1619.0.1.2

V budúcnosti bude možné tento disk SED použiť ako zavádzací disk nainštalovaním systému na ňom. Zakaždým, keď spustíte takýto systém, budete musieť zadať kľúč Bitlocker.

Kategórie