Hardverska podrška za BitLocker na SED SSD-ovima

Mnogi moderni tvrdi diskovi (uključujući SSD-ove) podržavaju tehnologiju samokriptiranje, dizajniran za zaštitu podataka korisnika. Pozvani su diskovi koji podržavaju šifriranje na razini kontrolera SED pogoni (samo šifrirajući pogoni). Algoritam šifriranja s simetričnim ključem implementiran je u hardveru na razini kontrolera diska. Pri pisanju na disk svi se podaci kriptiraju, a kada se čitaju, dešifriraju se i sa stajališta korisnika su apsolutno transparentni. Windows 8 i Windows Server 2012 mogu upotrebljavati hardversku funkcionalnost SED pogona za šifriranje podataka BitLocker, čime se olakšava procesor i smanjuje ukupna potrošnja energije u sustavu.

Kada koristite SED pogon s enkripcijom i BitLocker u sustavu Windows 7/2008, podaci na pogonu u osnovi se kriptiraju dva puta, na razini OS-a, BitLocker provodi šifriranje, a zatim kontroler pogona šifrira iste podatke. Nije baš učinkovit ...

U BitLockeru na Windows 8 / Windows Server 2012 Sada možete isprazniti procesor prijenosom funkcije šifriranja na kontroler tvrdog diska. Prema raznim procjenama, prijenos BitLocker šifriranja funkcija na kontroler SED diska povećava performanse sustava za 15-29%. Uz to, kod prelaska na šifriranje hardvera povećava se vijek trajanja baterije i njezin vijek trajanja (Kako provjeriti stanje baterije u sustavu Windows 8).

Korištenjem hardverske enkripcije BitLocker, sigurnost sustava povećava se zbog činjenice da se šifrirani ključ više ne pohranjuje u memoriju računala, pa memorija računala više ne može biti potencijalni vektor napada

Microsoft je definirao poseban standard Microsoft eDrive, Opisivanje zahtjeva za SED pogone za upotrebu s BitLocker-om. eDrive temeljen na specifikacijama TCG OPAL i IEEE 1667.

Kada koristite SED diskove koji podržavaju standard eDrive, pogon provodi enkripciju u pokretu, a pad performansi sustava tijekom rada BitLocker gotovo u potpunosti nestaje (u usporedbi s šifriranjem softvera BitLocker).

Sudeći po Microsoftovim opisima, korištenje BitLocker hardverske enkripcije na kompatibilnim uređajima nije teško. No pokazalo se da prelazak na šifriranje hardvera nije tako jednostavan. Zatim ćemo pokazati kako omogućiti podršku za BitLocker šifriranje hardvera na SSD-u, U skladu sa eDriveom.

vijeće. BitLocker nije podržan u manjim izdanjima Win 8. Potreban vam je najmanje Windows 8 Pro.

Da bi BitLocker koristio kontroler tvrdog diska za šifriranje, okolina mora ispunjavati sljedeće zahtjeve.

Zahtjevi za sustav za pokretanje:

  • BitLocker podržava TPM verzije 1.2 i 2.0 (i novije). Uz to je potreban i Microsoftov certificirani upravljački program za TPM.
  • Sustav se mora temeljiti na UEFI 2.3.1 i podržavati EFI_STORAGE_SECURITY_COMMAND_PROTOCOL
  • Računalo se mora pokrenuti u izvornom UEFI načinu (CSM način podržavanja kompatibilnosti mora biti onemogućen)

Uvjeti za SED SSD podatkovni disk:

  • Disk se ne smije inicijalizirati
  • Šifriranje mora biti onemogućeno

U našoj konfiguraciji pokušavamo omogućiti šifriranje hardvera BitLocker na SSD-u Samsung SSD 850 profesionalac (eDrive kompatibilni SSD). Za upravljanje parametrima SSD pogona koristit ćemo službeni Samsung uslužni program za rad sa SSD pogonima - Samsung mađioničar.

Prema Microsoftovoj ideji, ako sustav ispunjava opisane uvjete, kad uključite BitLocker na SED disku, funkcionalnost kontrolera automatski se koristi za šifriranje podataka. Međutim, pojavio se problem u starijim verzijama upravljačkog programa Intel tehnologija brzog pohranjivanja (RST), to ne uspijeva. Radna verzija RST-a s ispravnom BitLocker podrškom - 13.2.

  1. Provjeravamo trenutnu verziju upravljačkog programa RST - u našem slučaju je to 12.8.10.1005. Preuzmite najnoviju verziju upravljačkog programa RST (13.2.4.1000) iz Intel centra za preuzimanje (https://downloadcenter.intel.com/download/24293) i instalirajte.

    primjedba. Ako ne ažurirate RST upravljački program, kada pokušate omogućiti način zaštite na SSD disku u programu Samsung Magician, pojavljuje se pogreška nije uspjelo u izvesti operacija na odabran disk . A kada pokušate uspostaviti prisilnu upotrebu hardverske enkripcije naredbom:

    Omogući-BitLocker -MountPoint d: -TPMProtector -HardwareEncryption

    Pojava pogreške:

    Set-BitLockerVolumeInternal: Navedeni pogon ne podržava hardversko šifriranje. (Izuzetak od HRESULT: 0x803100B2)
  2. Sadržaj SSD diska očistit ćemo na sljedeći način sljedećim naredbama (naredni podaci brišu se!):
    • diskpart
    • popisni disk
    • odaberite disk 1
    • čist
    Važno je. Disk 1 bit će u potpunosti izbrisan. Obavezno navedite indeks vašeg SSD pogona. U našem primjeru Samsung SSD 850 Pro ima indeks 1.
  3. Otvorimo Samsung Magician i u odjeljku Sigurnost podataka uključimo način šifriranja hardvera SSD klikom na Spreman za omogućavanje.
  4. Nakon ponovnog pokretanja provjerite je li aktiviran način enkripcije diska.
  5. Inicijalizirajte i formatirajte disk u konzoli za upravljanje diskom.

  6. Ostaje aktivirati BitLocker za disk kao i obično. U čarobnjaku za postavljanje navedite da želite šifrirati cijeli sadržaj diska (Šifriranje čitav pogon). U suprotnom, bit će korišteno šifriranje softvera BitLocker..
  7. Ostaje provjeriti da BitLocker sada koristi šifriranje hardvera. To možete učiniti samo iz naredbenog retka (s administratorskim pravima):Manage-bde -status d:

    Sljedeći redak označava da BitLocker koristi hardversku enkripciju. Način šifriranja: Šifriranje hardvera - 1.3.111.2.1619.0.1.2

Ovaj se SED disk ubuduće može koristiti kao pokretački disk instaliranjem sustava na njega. Pri svakom pokretanju takvog sustava morat ćete navesti Bitlocker ključ.