加密硬盘驱动器
加密硬盘驱动器项目06/06/2023适用于:✅Windows11,✅Windows10,✅WindowsServer2022,✅WindowsServer2019,✅WindowsServer2016加密硬盘驱动器使用BitLocker驱动器加密提供的快速加密来增强数据安全性和管理。
通过将加密操作卸载到硬件,加密硬盘驱动器可以提高BitLocker性能并减少CPU使用率和功耗。由于加密的硬盘驱动器可以快速加密数据,因此企业设备可以扩展BitLocker部署,对工作效率的影响最小。
加密硬盘驱动器是在硬件级别进行自加密并允许完全磁盘硬件加密的一类新硬盘驱动器。从Windows8和WindowsServer2012开始,无需进行其他修改即可将Windows安装到加密硬盘驱动器。
加密硬盘驱动器提供:
更好的性能:集成到驱动器控制器中的加密硬件允许驱动器以完整数据速率运行,且不会降低性能。基于硬件的强安全性:加密始终“打开”,用于加密的密钥永远不会离开硬盘驱动器。用户身份验证在驱动器解锁之前由驱动器执行(独立于操作系统)易用性:加密对用户是透明的,用户不需要启用它。使用板载加密密钥轻松擦除加密的硬盘驱动器;无需重新加密驱动器上的数据。降低拥有成本:无需使用新的基础结构来管理加密密钥,因为BitLocker使用现有基础结构来存储恢复信息。你的设备可更高效地运行,因为处理器周期无需用于加密过程。通过以下机制在操作系统中本机支持加密的硬盘驱动器:
标识:操作系统标识驱动器是加密的硬盘驱动器设备类型。激活:操作系统磁盘管理实用工具根据需要激活、创建卷并将其映射到范围/波段。配置:操作系统根据需要创建卷并将其映射到范围/带区。API:API支持应用程序管理与BitLocker驱动器加密无关的加密硬盘驱动器(BDE)。BitLocker支持:与BitLocker控制面板集成可提供无缝的BitLocker最终用户体验。警告
自加密硬盘驱动器和适用于Windows的加密硬盘驱动器不是同一类型的设备。适用于Windows的加密硬盘驱动器要求符合特定TCG协议以及IEEE1667合规性;自加密硬盘驱动器没有这些要求。在规划部署时,请务必确认设备类型是适用于Windows的加密硬盘驱动器。
如果你是存储设备供应商,正在寻找有关如何实现加密硬盘驱动器的详细信息,请参阅加密硬盘驱动器设备指南。
Windows版本和许可要求下表列出了支持加密硬盘驱动器的Windows版本:
Windows专业版Windows企业版Windows专业教育版/SEWindows教育版是是是是加密硬盘许可证权利由以下许可证授予:
Windows专业版/专业教育版/SEWindows企业版E3Windows企业版E5Windows教育版A3Windows教育版A5是是是是是有关Windows许可的详细信息,请参阅Windows许可概述。
系统要求若要使用加密硬盘驱动器,需要满足以下系统要求:
对于用作数据驱动器的加密硬盘驱动器:
驱动器必须处于未初始化状态。驱动器必须处于安全非活动状态。对于用作启动驱动器的加密硬盘驱动器:
驱动器必须处于未初始化状态。驱动器必须处于安全非活动状态。计算机必须基于UEFI2.3.1并定义EFI_STORAGE_SECURITY_COMMAND_PROTOCOL。(此协议用于允许在EFI启动服务环境中运行的程序将安全协议命令发送到驱动器)。计算机必须具有兼容性支持模块(CSM)在UEFI中禁用。计算机必须始终从UEFI本机启动。警告
所有加密的硬盘驱动器必须连接到非RAID控制器才能正常工作。
技术概述BitLocker中的快速加密直接满足了企业的安全需求,同时提高了性能。在早于WindowsServer2012的Windows版本中,BitLocker需要一个两步过程才能完成读/写请求。在WindowsServer2012、Windows8或更高版本中,加密的硬盘驱动器会将加密操作卸载到驱动器控制器,以提高效率。当操作系统标识加密的硬盘驱动器时,它会激活安全模式。此激活允许驱动器控制器为主计算机创建的每个卷生成媒体密钥。此媒体密钥永远不会在磁盘外部公开,用于快速加密或解密从磁盘发送或接收的每个字节数据。
将加密硬盘驱动器配置为启动驱动器使用与标准硬盘驱动器相同的方法将加密硬盘驱动器配置为启动驱动器。这些方法包括:
从媒体部署:加密硬盘驱动器的配置在安装过程中自动进行。从网络部署:此部署方法涉及启动WindowsPE环境,并使用映像工具从网络共享应用Windows映像。使用此方法时,WindowsPE映像中需要包含增强存储可选组件。可以使用服务器管理器、WindowsPowerShell或DISM命令行工具启用此组件。如果不存在此组件,则加密硬盘驱动器的配置将不起作用。从服务器部署:此部署方法涉及PXE启动存在加密硬盘驱动器的客户端。将增强存储组件添加到PXE启动映像时,加密硬盘驱动器的配置会自动在此环境中进行。在部署期间,unattend.xml中的TCGSecurityActivationDisabled设置控制加密硬盘驱动器的加密行为。磁盘重复:此部署方法涉及使用以前配置的设备和磁盘复制工具将Windows映像应用到加密硬盘驱动器。必须至少使用Windows8或WindowsServer2012对磁盘进行分区,此配置才能正常工作。使用磁盘复制器制作的映像不起作用。使用组策略配置基于硬件的加密有三个相关的组策略设置可帮助你管理BitLocker如何使用基于硬件的加密以及要使用的加密算法。如果未在配备加密驱动器的系统上配置或禁用这些设置,BitLocker将使用基于软件的加密:
配置对固定数据驱动器使用基于硬件的加密配置对可移动数据驱动器使用基于硬件的加密配置对操作系统驱动器使用基于硬件的加密加密硬盘体系结构加密的硬盘驱动器利用设备上的两个加密密钥来控制驱动器上数据的锁定和解锁。这些加密密钥是DEK)(数据加密密钥,是AK)(身份验证密钥。
数据加密密钥是用于加密驱动器上所有数据的密钥。驱动器生成DEK,它永远不会离开设备。它以加密格式存储在驱动器上的随机位置。如果DEK发生更改或擦除,则使用DEK加密的数据不可恢复。
AK是用于解锁驱动器上的数据的密钥。密钥的哈希存储在驱动器上,需要确认才能解密DEK。
当具有加密硬盘驱动器的计算机处于关闭状态时,驱动器会自动锁定。当计算机打开时,设备将保持锁定状态,并且仅在AK解密DEK后才会解锁。AK解密DEK后,可以在设备上执行读写操作。
将数据写入驱动器时,它会在写入操作完成之前通过加密引擎。同样,从驱动器读取数据需要加密引擎在将该数据传递回用户之前解密数据。如果需要更改或擦除AK,则无需重新加密驱动器上的数据。需要创建新的身份验证密钥,它将重新加密DEK。完成后,现在可以使用新的AK解锁DEK,并且可以继续对卷进行读写。
重新配置加密硬盘驱动器许多加密的硬盘驱动器设备已预先配置以供使用。如果需要重新配置驱动器,请在删除所有可用卷并将驱动器还原为未初始化状态后使用以下过程:
打开磁盘管理(diskmgmt.msc)初始化磁盘,(MBR或GPT)选择适当的分区样式在磁盘上创建一个或多个卷。使用BitLocker设置向导在卷上启用BitLocker。