Меню

Шифрованный диск windows 10

Зашифрованный жесткий диск Encrypted Hard Drive

Область применения Applies to

  • Windows 10 Windows10
  • WindowsServer2019 Windows Server 2019
  • WindowsServer2016 Windows Server 2016

Зашифрованный жесткий диск использует быстрое шифрование, предоставляемое шифрованием дисков BitLocker, для повышения безопасности и управления данными. Encrypted Hard Drive uses the rapid encryption that is provided by BitLocker Drive Encryption to enhance data security and management.

Путем передачи криптографических операций в оборудование функция «Зашифрованный жесткий диск» повышает производительность BitLocker и снижает потребление ресурсов ЦП и электроэнергии. By offloading the cryptographic operations to hardware, Encrypted Hard Drives increase BitLocker performance and reduce CPU usage and power consumption. Благодаря тому, что функция зашифрованных жестких дисков быстро шифрует данные, устройства организации могут расширять развертывания BitLocker с минимальным влиянием на производительность. Because Encrypted Hard Drives encrypt data quickly, enterprise devices can expand BitLocker deployment with minimal impact on productivity.

Зашифрованные жесткие диски — это новый класс жестких дисков, которые самошифруются на уровне оборудования и поддерживают полное аппаратное шифрование. Encrypted Hard Drives are a new class of hard drives that are self-encrypting at a hardware level and allow for full disk hardware encryption. Вы можете установить Windows на зашифрованные жесткие диски без дополнительных изменений, начиная с Windows 8 и Windows Server 2012. You can install Windows to Encrypted Hard Drives without additional modification beginning with Windows 8 and Windows Server 2012.

Зашифрованные жесткие диски предоставляют следующие возможности: Encrypted Hard Drives provide:

  • Улучшенная производительность: Шифрование оборудования, встроенное в контроллер диска, позволяет диску работать на полную скорость передачи данных без ухудшения производительности. Better performance: Encryption hardware, integrated into the drive controller, allows the drive to operate at full data rate with no performance degradation.
  • Надежная безопасность, основанная на оборудовании: шифрование всегда имеет значение Вкл., а ключи для шифрования никогда не оставляют жесткого диска. Strong security based in hardware: Encryption is always «on» and the keys for encryption never leave the hard drive. Проверка подлинности пользователей выполняется диском, прежде чем он снимет блокировку (независимо от операционной системы). User authentication is performed by the drive before it will unlock, independently of the operating system
  • Простота использования: шифрование прозрачно для пользователя, и пользователю не нужно его включать. Ease of use: Encryption is transparent to the user, and the user doesn’t need to enable it. Зашифрованные жесткие диски легко удаляются с помощью встроенного ключа шифрования; нет необходимости повторно шифровать данные на диске. Encrypted Hard Drives are easily erased using on-board encryption key; there is no need to re-encrypt data on the drive.
  • Низкая стоимость владения: не требуется новая инфраструктура для управления ключами шифрования, так как BitLocker использует существующую инфраструктуру для хранения данных восстановления. Lower cost of ownership: There is no need for new infrastructure to manage encryption keys, since BitLocker leverages your existing infrastructure to store recovery information. Ваше устройство работает более эффективно, так как циклы процессора не требуется использовать для процесса шифрования. Your device operates more efficiently because processor cycles do not need to be used for the encryption process.

Зашифрованные жесткие диски поддерживаются в операционной системе с помощью следующих механизмов: Encrypted Hard Drives are supported natively in the operating system through the following mechanisms:

  • Идентификация: операционная система может определить, что диск является зашифрованным устройством с жестким диском. Identification: The operating system can identify that the drive is an Encrypted Hard Drive device type
  • Активация: Программа управления дисками операционной системы может активировать, создавать и сопоставлять тома для диапазонов и интервалов по мере необходимости. Activation: The operating system disk management utility can activate, create and map volumes to ranges/bands as appropriate
  • Настройка: операционная система может создавать и сопоставлять тома на диапазоны и полосы, как нужно Configuration: The operating system can create and map volumes to ranges/bands as appropriate
  • API: поддержка API для приложений, предназначенных для управления шифрованными жесткими дисками независимо от шифрования диска BitLocker (BDE) API: API support for applications to manage Encrypted Hard Drives independently of BitLocker Drive Encryption (BDE)
  • Поддержка BitLocker: интеграция с помощью панели управления BitLocker обеспечивает эффективное взаимодействие с конечным пользователем BitLocker. BitLocker support: Integration with the BitLocker Control Panel provides a seamless BitLocker end user experience.

Жесткие диски с самошифрованием и зашифрованными жесткими дисками для Windows не являются устройствами одинакового типа. Self-Encrypting Hard Drives and Encrypted Hard Drives for Windows are not the same type of device. Для Windows с шифрованием жестких дисков требуется соответствие конкретным протоколам TCG и требованиям IEEE 1667; Эти требования не распространяются на Самошифрование жестких дисков. Encrypted Hard Drives for Windows require compliance for specific TCG protocols as well as IEEE 1667 compliance; Self-Encrypting Hard Drives do not have these requirements. Важно подтвердить, что тип устройства является зашифрованным жестким диском для Windows при планировании развертывания. It is important to confirm the device type is an Encrypted Hard Drive for Windows when planning for deployment.

Если вы являетесь поставщиком устройства хранения данных для получения дополнительных сведений о том, как реализовать шифрование на жестком диске, ознакомьтесь с руководством по устройствам на жестком диске с шифрованием. If you are a storage device vendor who is looking for more info on how to implement Encrypted Hard Drive, see the Encrypted Hard Drive Device Guide.

Системные требования System Requirements

Для использования зашифрованных жестких дисков применяются следующие требования к системе. To use Encrypted Hard Drives, the following system requirements apply:

Для зашифрованного жесткого диска, используемого в качестве устройства для данных: For an Encrypted Hard Drive used as a data drive:

  • Диск должен находиться в неинициализированном состоянии. The drive must be in an uninitialized state.
  • Диск должен находиться в неактивном состоянии безопасности. The drive must be in a security inactive state.

Для зашифрованного жесткого диска, используемого в качестве загрузочного диска, выполните указанные ниже действия. For an Encrypted Hard Drive used as a startup drive:

  • Диск должен находиться в неинициализированном состоянии. The drive must be in an uninitialized state.
  • Диск должен находиться в неактивном состоянии безопасности. The drive must be in a security inactive state.
  • На основе этого компьютера должен быть установлен интерфейс UEFI 2.3.1 и определен EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. The computer must be UEFI 2.3.1 based and have the EFI_STORAGE_SECURITY_COMMAND_PROTOCOL defined. (Этот протокол используется для того, чтобы программы, запущенные в среде служб загрузки EFI, отправляли команды протокола безопасности на диск). (This protocol is used to allow programs running in the EFI boot services environment to send security protocol commands to the drive).
  • На компьютере должен быть отключен модуль поддержки совместимости (КСМ) в UEFI. The computer must have the Compatibility Support Module (CSM) disabled in UEFI.
  • Компьютер должен всегда загружаться с UEFI. The computer must always boot natively from UEFI.

Для правильной работы все зашифрованные жесткие диски должны быть подключены к контроллерам не-RAID. All Encrypted Hard Drives must be attached to non-RAID controllers to function properly.

Технический обзор Technical overview

Быстрое шифрование в BitLocker — это прямой адрес, необходимый для предприятий, в то же время обеспечивая значительно повышенный уровень производительности. Rapid encryption in BitLocker directly addresses the security needs of enterprises while offering significantly improved performance. В версиях Windows, более ранних, чем Windows Server 2012, для выполнения запросов на чтение и запись BitLocker требуется процесс из двух шагов. In versions of Windows earlier than Windows Server 2012, BitLocker required a two-step process to complete read/write requests. В Windows Server 2012, Windows 8 или более поздних версиях зашифрованные жесткие диски разгружают криптографические операции на контроллер диска для более эффективной работы. In Windows Server 2012, Windows 8, or later, Encrypted Hard Drives offload the cryptographic operations to the drive controller for much greater efficiency. Если операционная система идентифицирует зашифрованный жесткий диск, она активирует режим безопасности. When the operating system identifies an Encrypted Hard Drive, it activates the security mode. Эта активация позволяет контроллеру диска создать ключ мультимедиа для каждого тома, созданного ведущим компьютером. This activation lets the drive controller generate a media key for every volume that the host computer creates. Этот ключ мультимедиа, который никогда не отображается за пределами диска, используется для быстрого шифрования и расшифровки каждого байта данных, отправляемого или получаемого с диска. This media key, which is never exposed outside the disk, is used to rapidly encrypt or decrypt every byte of data that is sent or received from the disk.

Настройка зашифрованных жестких дисков в качестве загрузочных дисков Configuring Encrypted Hard Drives as Startup drives

Настройка зашифрованных жестких дисков в качестве загрузочных дисков выполняется с помощью тех же способов, что и стандартные жесткие диски. Configuration of Encrypted Hard Drives as startup drives is done using the same methods as standard hard drives. Ниже перечислены эти методы. These methods include:

  • Развертывание с носителя: Настройка зашифрованных жестких дисков выполняется автоматически при установке. Deploy from media: Configuration of Encrypted Hard Drives happens automatically through the installation process.
  • Развертывание из сети: вэтом методе развертывания предполагается загрузка среды Windows PE и использование средств обработки изображений для применения образа Windows из сетевого общего доступа. Deploy from network: This deployment method involves booting a Windows PE environment and using imaging tools to apply a Windows image from a network share. С помощью этого метода дополнительный компонент Enhanced Storage необходимо включить в образ Windows PE. Using this method, the Enhanced Storage optional component needs to be included in the Windows PE image. Вы можете включить этот компонент с помощью диспетчера серверов, Windows PowerShell или средства командной строки DISM. You can enable this component using Server Manager, Windows PowerShell, or the DISM command line tool. Если этот компонент не указан, Настройка зашифрованных жестких дисков не будет работать. If this component is not present, configuration of Encrypted Hard Drives will not work.
  • Развертывание с сервера: вэтом методе развертывания предполагается загрузка клиента с помощью протокола PXE, на котором находятся зашифрованные жесткие диски. Deploy from server: This deployment method involves PXE booting a client with Encrypted Hard Drives present. Настройка зашифрованных жестких дисков происходит автоматически в этой среде, когда компонент Enhanced Storage добавляется в загрузочный образ PXE. Configuration of Encrypted Hard Drives happens automatically in this environment when the Enhanced Storage component is added to the PXE boot image. Во время развертывания параметр ткгсекуритяктиватиондисаблед в файле Unattend. XML управляет поведением шифрования зашифрованных жестких дисков. During deployment, the TCGSecurityActivationDisabled setting in unattend.xml controls the encryption behavior of Encrypted Hard Drives.
  • Дублирование дисков. Этот метод развертывания включает использование ранее настроенных средств дублирования устройств и дисков для применения образа Windows к зашифрованному жесткому диску. Disk Duplication: This deployment method involves use of a previously configured device and disk duplication tools to apply a Windows image to an Encrypted Hard Drive. Для использования этой конфигурации диски должны быть разделены в Windows 8 или Windows Server 2012. Disks must be partitioned using at least Windows 8 or Windows Server 2012 for this configuration to work. Изображения, созданные с помощью дублирования дисков, работать не будут. Images made using disk duplicators will not work.

Настройка аппаратного шифрования с помощью групповой политики Configuring hardware-based encryption with Group Policy

Существуют три связанные параметры групповой политики, которые помогут вам управлять тем, как BitLocker использует аппаратный енвриптион и какие алгоритмы шифрования следует использовать. There are three related Group Policy settings that help you manage how BitLocker uses hardware-based envryption and which encryption algorithms to use. Если эти параметры не настроены или отключены для систем, которые оснащены зашифрованными дисками, BitLocker использует программное шифрование. If these settings are not configured or disabled on systems that are equipped with encrypted drives, BitLocker uses software-based encryption:

Архитектура с шифрованием жестких дисков Encrypted Hard Drive Architecture

Зашифрованные жесткие диски используют два ключа шифрования на устройстве, чтобы управлять блокировкой и разблокировкой данных на диске. Encrypted Hard Drives utilize two encryption keys on the device to control the locking and unlocking of data on the drive. Это ключ шифрования данных (Дек) и ключ проверки подлинности (АК). These are the Data Encryption Key (DEK) and the Authentication Key (AK).

Ключ шифрования данных — это ключ, который используется для шифрования всех данных на диске. The Data Encryption Key is the key used to encrypt all of the data on the drive. Диск генерирует дек, и он не покидает устройство. The drive generates the DEK and it never leaves the device. Файл сохраняется в зашифрованном формате в случайном месте на диске. It is stored in an encrypted format at a random location on the drive. При изменении или удалении Дек данные, зашифрованные с помощью дек, — иррековерабле. If the DEK is changed or erased, data encrypted using the DEK is irrecoverable.

Ключ проверки подлинности — ключ, который используется для разблокировки данных на диске. The Authentication Key is the key used to unlock data on the drive. Хэш ключа хранится на диске и требует подтверждения для расшифровки дек. A hash of the key is stored on drive and requires confirmation to decrypt the DEK.

Если компьютер с зашифрованным жестким диском находится в отключенном состоянии, диск блокируется автоматически. When a computer with an Encrypted Hard Drive is in a powered off state, the drive locks automatically. При включении компьютера устройство остается в заблокированном состоянии и разблокируется только после того, как ключ проверки подлинности расшифровывает ключ шифрования данных. As a computer powers on, the device remains in a locked state and is only unlocked after the Authentication Key decrypts the Data Encryption Key. После того как ключ проверки подлинности расшифровывает ключ шифрования данных, на устройстве могут выполняться операции чтения и записи. Once the Authentication Key decrypts the Data Encryption Key, read-write operations can take place on the device.

При записи данных на диск оно проходит через обработчик шифрования перед завершением операции записи. When writing data to the drive, it passes through an encryption engine before the write operation completes. Аналогичным образом, при чтении данных с устройства требуется, чтобы средство шифрования расшифровывать данные перед передачей их пользователю. Likewise, reading data from the drive requires the encryption engine to decrypt the data before passing that data back to the user. В случае, если Дек нужно изменить или удалить, данные на диске не нужно будет повторно шифровать. In the event that the DEK needs to be changed or erased, the data on the drive does not need to be re-encrypted. Необходимо создать новый ключ проверки подлинности, и он будет повторно зашифровывать дек. A new Authentication Key needs to be created and it will re-encrypt the DEK. После того как вы завершите работу, дек можно будет разблокировать с помощью нового АК, а чтение и запись на диск может быть продолжено. Once completed, the DEK can now be unlocked using the new AK and read-writes to the volume can continue.

Повторная настройка зашифрованных жестких дисков Re-configuring Encrypted Hard Drives

Многие зашифрованные жесткие диски уже настроены для использования. Many Encrypted Hard Drive devices come pre-configured for use. Если требуется перенастройка диска, выполните описанные ниже действия, чтобы удалить все доступные тома и вернуть диск в неинициализированное состояние. If reconfiguration of the drive is required, use the following procedure after removing all available volumes and reverting the drive to an uninitialized state:

Источник статьи: http://docs.microsoft.com/ru-ru/windows/security/information-protection/encrypted-hard-drive


Adblock
detector