- A+
本文内容
加密硬盘驱动器使用 提供的快速加密功能提高数据安全性和管理。
通过将加密操作卸载到硬件,加密硬盘可以提高性能并降低 CPU 使用率和帧速率。 由于加密硬盘可以快速加密数据,因此企业设备可以大规模部署,同时对生产力的影响最小。
加密硬盘是一种新型硬盘,可在硬件级别进行自加密,并允许对 C 驱动器进行完整的硬件加密。 截至 8 和 2012 年,无需进行任何其他更改即可安装到加密硬盘驱动器。
加密硬盘提供:
操作系统通过以下机制本机支持加密硬盘驱动器:
警告
自加密硬盘和加密硬盘不是同一类型的设备。 适用的加密硬盘需要符合特定的TCG合同以及合规性; 自加密硬盘驱动器没有。 规划部署时,不一定要确认设备类型是适当的加密硬盘驱动器。
如果您是存储设备供应商,正在寻找有关如何实施加密硬盘的详细信息,请参阅加密硬盘的设备手册。
版本和许可要求
下表列出了支持加密硬盘的版本:
专业版 企业版 专业教育版/教育版
是的
是的
是的
是的
加密硬盘许可权由以下许可授予:
专业版/专业教育版/企业版企业版教育版教育版A5
是的
是的
是的
是的
是的
有关许可的更多信息,请参阅许可概述。
系统要求
要使用加密硬盘,必须满足以下系统要求:
对于用作数据驱动器的加密硬盘驱动器:
对于用作引导驱动器的加密硬盘驱动器:
警告
所有加密硬盘都必须连接到非 RAID 控制器才能正常运行。
技术概览
中的快速加密,在提升性能的同时直接解决了企业的安全需求。 在 2012 之前的版本中,需要一个两步过程来完成读/写请求。 在 2012 年 8 或以后,加密硬盘驱动器将加密操作卸载到驱动器控制器以提高效率。 当操作系统标记加密硬盘驱动器时,它会激活安全模式。 此激活允许驱动器控制器为主机创建的每个卷生成媒体密钥。 该媒体密钥永远不会泄露到 C 驱动器之外,用于快速加密或解密从 C 驱动器发送或接收的每个字节的数据。
将加密硬盘配置为启动驱动器
以与标准硬盘驱动器相同的方式将加密硬盘驱动器配置为引导驱动器。 这种方法包括:
使用组策略配置基于硬件的加密
三个相关的组策略设置可帮助您管理基于硬件的加密的使用方式以及要使用的加密算法。 如果在具有加密驱动器的系统上未配置或禁用此设置,则将使用基于软件的加密:
加密硬盘架构
加密硬盘驱动器使用设备上的两个加密密钥来控制驱动器上数据的锁定和解锁。 这个加密密钥是DEK)(数据加密密钥,就是AK)(认证密钥。
数据加密密钥是用于加密驱动器上所有数据的密钥。 驱动器生成 DEK,该 DEK 永远不会离开设备。 它以加密格式存储在驱动器上的随机位置。 如果DEK被修改或删除,则用DEK加密的数据将无法恢复。
AK 是用于解锁驱动器上数据的密钥。 密钥的哈希值存储在驱动器上,需要确认才能显示 DEK。
当具有加密硬盘驱动器的计算机关闭时,该驱动器将被手动锁定。 当计算机开机时,设备保持锁定状态浮雕解密软件,只有AK解封DEK后才能解锁。 AK揭示DEK后,就可以对设备进行读写操作了。
当数据写入驱动器时,数据会在写入操作完成之前通过加密引擎。 同样,从驱动器读取数据需要加密引擎在将数据传回用户之前解密数据。 如果需要修改或擦除AK,则无需重新加密驱动器上的数据。 需要创建一个新的身份验证密钥,这将重新加密 DEK。 完成后,现在可以使用新 AK 解锁 DEK,但可以继续读取和写入卷。
重新配置加密硬盘
许多加密的硬盘驱动器设备都经过预先配置以供使用。 如果需要重新配置驱动器,请在删除所有可用卷并将驱动器恢复到未初始化状态后使用以下过程:
打开C盘管理(.msc)对C盘进行初始化浮雕解密软件,(MBR或GPT)选择合适的分区样式在C盘上创建一个或多个卷。 使用设置向导在卷上启用。
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
