Encrypted drive samsung что это
Перейти к содержимому

Encrypted drive samsung что это

  • автор:

Как оптимизировать SSD с утилитой Samsung SSD Magician

Чтобы использовать возможности SSD по максимуму, необходимо соответствующее программное обеспечение — такое как бесплатная утилита Samsung Magician, которая позволяет обновлять прошивку, производить тесты производительности SSD и оптимизировать работу операционной системы согласно параметрам устройства.

Программа предназначена для работы со всеми SSD Samsung, включая серии 470, 750, 830, 840, 850, 860, 950, 960 и 970. Она не подойдёт для накопителей других производителей. С её помощью можно легко проверить оригинальность железа: в случае покупки неоригинального SSD Magician уведомит пользователя о том, что он приобрел не фирменный продукт.

Как использовать Magician?

Первое, что нужно сделать, — загрузить утилиту с официального сайта Samsung. Приложение абсолютно бесплатно и не предлагает приобрести «плюс-версию».

Magician

Основной раздел Magician посвящён управлению дисками — в нём пользователи могут тестировать производительность своих SSD и обновлять их прошивку. Помимо этого Magician даёт пользователям возможность оптимизировать работу накопителя, если ПК работает на ОС Windows 8 и выше. Разрешено сделать акцент на производительности, ёмкости или надёжности — либо открыть вкладку «Дополнительно» и сбалансировать параметры вручную.

Ещё одна настройка позволяет выбрать оптимальный баланс между ёмкостью и долговечностью накопителя. Это пункт Over Provisioning, где можно задать размер резервной области SSD. Можно использовать рекомендованное компанией Samsung выделение ресурсов или установить объём вручную. Это обеспечит постоянное свободное место на диске, чтобы элементы NAND изнашивались равномерно. Samsung рекомендует устанавливать объём резервной области 10%, но пользователь может выбрать любое значение до 50%.

Magician

Вкладка Secure Erase позволяет безопасно очистить диск за несколько секунд.

Для повышения быстродействия системы утилита предлагает активировать режим RAPID, который использует до 1 ГБ системной памяти в качестве кэша для часто используемых («горячих») данных. Во вкладке «Безопасность данных» показано, какие функции защиты данных доступны для каждого из дисков, и как их активировать.

Опция PSID Revert, появившаяся в одной из последних версий программы, помогает устранить ошибки, которые могут привести к блокировке диска. При её использовании будьте осторожны: все данные на диске будут удалены.

Для обеспечения максимальной безопасности данных на SSD предлагается инструмент Encrypted Drive, который шифрует диск средствами ОС с использованием функции Windows BitLocker.

Подробная информация о Magician доступна на официальном сайте Samsung. Её можно скачать абсолютно бесплатно.

Аппаратная поддержка BitLocker на SED SSD дисках

date04.01.2019
useritpro
directoryWindows 8
commentsкомментариев 12

Многие современные жесткие диски (в том числе SSD) поддерживают технологию самошифровния, предназначенную для защиты данных пользователя. Диски с поддержкой шифрования на уровне контроллера называются SED дисками (Self-Encrypting Drives). Алгоритм шифрования с симметричным ключом реализуется аппаратно на уровне контроллера диска. При записи на диск все данные шифруются, а при чтении – расшифровываются, причем абсолютно прозрачно с точки зрения пользователя. Windows 8 и Windows Server 2012 могут использовать аппаратный функционал SED дисков для шифрования данных BitLocker-ом, тем самым разгружая процессор и уменьшая общее энергопотребление системы.

При использовании SED диска с шифрованиеми BitLocker на Windows 7 / 2008, данные на диске по сути шифруются дважды, на уровне ОС шифрование выполняет BitLocker, а затем эти же данные шифруются контроллером диска. Не очень-то эффективно…

В BitLocker на Windows 8 / Windows Server 2012 появилась возможность разгрузить процессор, передав функционал шифрования контроллеру жесткого диска. По различным оценкам, передача функций шифрования BitLocker контролеру SED диска увеличивает производительность системы на 15-29%. Кроме того, при переходе на аппаратное шифрование, увеличивается срок работы устройств от аккумуляторной батареи и срок ее жизни (Как проверить состояние аккумулятора в Windows 8).

При использовании аппаратного шифрования BitLocker увеличивается безопасность системы за счет того, что ключ шифрования более не хранится в памяти компьютера, тем самым память компьютера более не может быть потенциальным вектором атаки

Microsoft определила особый стандарт Microsoft eDrive, описывающий требования к SED дискам для использования вместе с BitLocker. eDrive основан на стандартах спецификаций TCG OPAL и IEEE 1667.

При использовании SED дисков, поддерживающих стандарт eDrive, накопитель выполняет шифрование «на лету», практически полностью исчезает падение производительности системы при работе BitLocker (по сравнению с программным шифрованием BitLocker).

Судя по описаниям Microsoft, задействовать аппаратное шифрование BitLocker на совместимых устройствах не составляет труда. Но, оказалось, перейти на аппаратное шифрование не так просто. Далее покажем, как включить поддержку BitLocker Hardware Encryption на SSD диске, поддерживающим стандарт eDrive.

Для того, чтобы BitLocker мог использовать для шифрования контроллер жесткого диска, окружение должно соответствовать следующим требованиям.

Требования к загрузочной системе:

  • BitLocker поддерживает версии TPM 1.2 и 2.0 (и выше). Дополнительно, требуется TPM драйвер, сертифицированный Microsoft
  • Система должна быть основана на UEFI 2.3.1 и поддерживать EFI_STORAGE_SECURITY_COMMAND_PROTOCOL
  • Компьютер должен загружаться в нативном UEFI режиме (режим совместимости CSM — Compatibility Support Mode должен быть отключен)

Требования к SED SSD диску с данными:

  • Диск не должен быть инициализирован
  • Шифрование должно быть отключено

В нашей конфигурации мы пытаемся включить аппаратное шифрование BitLocker на SSD диске Samsung SSD 850 Pro (eDrive совместимый SSD). Для управления параметрами SSD диска будем использовать официальную утилиту Samsung для работы с SSD накопителями — Samsung Magician.

По задумке Microsoft, если система удовлетворяет описанным условиям, то при включении BitLocker на SED диске, для шифрования данных автоматически использования функционал контроллера. Однако проблема оказалась в том, что со старыми версиями драйвера Intel Rapid Storage Technology (RST), это не работает. Рабочая версия RST с корректной поддержкой BitLocker – 13.2.

Intel Rapid Storage Technology драйвер 12.8.10.1005

    Проверяем текущую версию драйвера RST – в нашем случае это 12.8.10.1005. Качаем свежую версию RST (13.2.4.1000) драйвера из центра загрузки Intel (https://downloadcenter.intel.com/download/24293) и устанавливаем.

Примечание. Если не обновлять RST драйвер, при попытке включить режим защиты на SSD диске в Samsung Magician, появляется ошибка Failed to perform the operation on the selected disk . А при попытке установить принудительное использование аппаратного шифрования командой:

Enable-BitLocker -MountPoint d: -TPMProtector -HardwareEncryption

Encryption Method: Hardware Encryption - 1.3.111.2.1619.0.1.2

В дальнейшем данный SED диск можно использовать в качестве загрузочного, установив на него систему. Каждый раз при загрузке такой системы необходимо будет указывать ключ Bitlocker.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

page

page

page

alt=»Ограниченный доступ к точке wifi в Windows 8.1″ width=»58″ height=»56″ /> Ограниченный доступ к Wi-Fi сети в Windows 10 / 8.1: решаем проблему
alt=»Восстанавливаем пропавшую языковую панель в Windows 8″ width=»58″ height=»56″ /> Пропала языковая панель в Windows 8. Что делать?
alt=»Востановление данных с поврежденного диска, зашифрованного bitloceker» width=»58″ height=»56″ />Восстановление данных с поврежденного диска, зашифрованного BitLocker
alt=»Задание планировщика automountvhd» width=»58″ height=»56″ />Автоматическое монтирование VHD/VHDX-диска при загрузке Windows

У меня есть сервер на H77 чипсете, у него последняя версия драйверов для RST 13.1 (7 Series/C216). По Вашему методу не включается аппаратное шифрование. Что здесь можно придумать? Поменять мамку? На какую — Z77, может там посвежее чип? Диск 850Evo.

В моем случае заработала только версия RST 13.2. Возможно нужно почитать доки по мат.карте о поддержке аппаратного шифрования.
Если ничего не найдете, думаю, Вам стоит подобрать мать с поддержкой как минимум этой версии драйвера.

Еще несколько вопросов, если позволите?
1) Перерыл все CLI, команды «Enable-BitLocker -MountPoint d: -TPMProtector -HardwareEncryption» не нашел. Система 2012 R2. Где искать то, может поможет мне с пониманием проблемы?
2) Пока мало знаю про SED диски. Какие варианты применения этих хардварных криптодвижков могут использоваться? Можно ли задействовать их в *nix?

Еще один вопрос. Что делать с чипами не от интел? Они по умолчанию лишены возможности задействовать аппаратное шифрование?

Привет, очень интересная статья. eDrive не снижаетс скорость работы ssd? Вы использовали ssd от samsung, не пробовали шифрование на intel? Они сильно отличаются по настройке?

Конечно, скорость доступа к SSD незначительно снижается, по заверениям производителя, в среднем не более 3-5%. Так что на глаз вы это точно не заметите.
Нет, опыта с Intel у меня не было

Я так и не понял, TPM-модуль должен присутствовать на материнской плате, или можно обойтись без него, ведь аппаратное шифрование диск и так по-сути выполняет?

TPM-модуль нужен для Bitlocker, а встроенное шифрование дисков SED может работать и без него.

Имеется в виду шифрование системного SED диска с функцией eDrive при помощи BitLocker. TPM-модуль вроде как нужен только для хранения ключа, как один из вариантов. При включении разрешения использовать BitLocker без TPM удается аппаратно защифровать не системный раздел SED диска, т.е. функция работает. При попытке зашифровать системный раздел из загруженной системы вылезает окно, как в пункте 6, т.е почему то предлагается программное шифрование. Encrypted Drive в Samsung Magician включен.

Здравствуйте.
А как деактивировать функцию Encrypted Drive на ssd Samsung? Дело в том, что у меня аппаратное шифрование так и не заработало. После её активации в программе Samsung Magician эту функцию деактивировать так же движением ползунка не получится, поскольку его просто нет. И программа с этой проблемой отсылает в Microsoft. А ещё прикольнее в том, что невозможно с включенной фукцией Encrypted Drive выполнить Secure Erase.

В программе Samsung Magician есть раздел PSID Revert он служит для расшифровки.

Не продуманная статья. Куча вопросов: где и как вводить ключ, для шифрования и чтения?

Персональный компьютер

Программа управления SSD-накопителем Samsung Magician

Приложение Samsung Magician предназначено для управления SSD-накопителем с помощью простого и интуитивно понятного пользовательского интерфейса. Мгновенная диагностика позволит вам определить общее состояние диска. Узнайте, конфликтует ли ваш SSD-накопитель с системными ресурсами, просмотрев сводку о системных компонентах и технических характеристиках диска.

Ну вот, после того, как Windows 10 успешно установилась с загрузочной флешки на мой компьютер, могу протестировать программное обеспечение Samsung Magician с графическим интерфейсом, позволяющее управлять накопителем SSD 2.5″ Samsung 860 EVO. Программа Samsung Magician и руководство по ее использованию есть на официальной странице производителя.

Программа для SSD "Samsung Magician" и руководство по ее использованию

Приложение Magician работает в операционных системах Windows 7, 8, 10 (32- и 64-разрядные версии). ОС Mac и ОС Linux не поддерживаются.

После запуска, программа Samsung Magician сканирует все подключенные диски и отображает общие сведения по всем дискам, или детальную информацию выбранного диска на соответствующей вкладке раздела управления дисками. Так, новый подключенный SSD Samsung 860 EVO еще не имеет разделов.

Программа для управления SSD "Samsung Magician"

А так тестируется накопитель SSD GoodRam IRDM PRO gen. 2, на который, уже установлена операционная система. Здесь появилась информация о разделах. Кстати, если на диске установлена Linux-система, программа не увидит разделы тома. В проводнике Windows, также, не отображается диск с Linux, хотя в компоненте управления дисками Windows, такой диск отображается.

Программа для управления SSD "Samsung Magician"

Обновление. Опция Update, слева в нижнем углу показывает текущую версию приложения Samsung Magician. Если для программы требуется обновление, вы увидите значок для загрузки программного обеспечения. Приложение автоматически подключится к сайту производителя.

Если для выбранного SSD-накопителя Samsung рекомендуется обновление микропрограммы, в интерфейсе появится информация о новой версии микропрограммы рядом с кнопкой «Обновить».

Обратите внимание, обновление микропрограммы недоступно для SSD-накопителей с включенным режимом RAPID Mode. Рекомендуется закрыть все открытые приложения, кроме Magician. Постарайтесь не выполнять на компьютере никаких действий во время этой операции. Через 20 секунд после обновления происходит автоматическая перезагрузка компьютера. Мне это кажется странным, что нельзя отложить такую перезагрузку.

Обновление микропрограммы SSD Samsung

Оптимизация производительности. Функция оптимизации производительности в разделе управления дисками, поддерживает только файловую систему NTFS. Отсутствие разделов на диске не дает запустить ни одной опции из списка управления диском, кроме оптимизации. Приложение Magician не выполняет операцию TRIM для стандартной оптимизации производительности в Windows 8 и более поздних версиях, так как в этих версиях поддерживается собственная операция TRIM. В таких случаях приложение Magician перенаправляет пользователя к компоненту оптимизации дисков Майкрософт.

Оптимизация производительности SSD

Secure Erase. Полностью и надлежащим образом удаляет потенциально конфиденциальную информацию без повреждения устройства. Secure Erase дополняет существующую команду форматирования диска, которая имеется в операционных системах компьютеров. После выполнения процедуры Secure Erase для SSD-накопителя восстановить данные будет невозможно.

Процедуру Secure Erase можно выполнить с помощью загрузочного USB-диска Подключите USB-накопитель, подождите, пока компьютер опознает устройство и выберите подключенный USB-диск. После нажатия кнопки «Начать», будет показан ход создания загрузочного диска. Чтобы начать процедуру Secure Erase, необходимо загрузить компьютер с USB-диска, соответственно настроив порядок загрузки в UEFI или BIOS.

Для себя я не понял, почему не достаточно просто отформатировать диск, с помощью операционных систем компьютера.

Сброс по PSID. Функция сброса по PSID полезна, если стороннее приложение или ваша ОС заблокировали диск и вы больше не можете получить к нему доступ из-за ошибки. Она позволяет восстановить доступ к диску, но при этом удаляет все данные на нем. Эту функцию следует использовать, только если вы безуспешно испробовали все другие методы восстановления.

Идентификатор PSID — это пароль из 32 символов, который можно использовать, чтобы подтвердить, что у вас есть физический доступ к диску. Он напечатан на этикетке диска.

Сброс по PSID SSD Samsung

Как видим из изображения выше, сброс по PSID для SSD Samsung не поддерживается из-за невключенного режима защиты. По этому поводу в руководстве программы нет более подробной информации, но я думаю режим защиты включается операционной системой.

Encrypted Drive. Функция «Защита данных» информирует пользователя о текущих параметрах защиты накопителя Samsung SSD и предоставляет инструкции по использованию соответствующих функций защиты.

Encrypted Drive (шифрование диска BitLocker) — это функция защиты данных, доступная в Windows 8 и всех версиях Windows Server 2012. Режим Encrypted Drive можно перевести в состояние «Можно включить» с помощью приложения Magician. Затем он автоматически включается при использовании функции Secure Erase и последующей чистой установке операционной системы Windows 8.x с поддержкой Encrypted Drive.

Как начать использовать аппаратное шифрование SSD-диска на примере Samsung EVO 850 и программы sedutil

Это просто короткая подсказка, которую, я надеюсь, можно использовать и для других дисков со встроенным шифрованием (SED, self encrypting drives). Здесь нет глубокого разъяснения принципов и терминов.

Samsung EVO или PRO всегда хранит данные в зашифрованном (AES) виде, даже если вы ничего для этого не предпринимали. Просто, пока вы не включили защиту, он всегда эти данные возвращает расшифрованными. А когда включите защиту, потребует пароль для расшифровки. Это означает, что установка пароля не приведёт к тому, что скорость работы диска упадёт, всё шифровалось и без него. А также означает, что не придётся диск шифровать от начала до конца – он уже зашифрован.

Однако, нет никаких сведений о том, какой ключ шифрования используется. Возможно, он один и тот же для всех дисков модели, или, например, для тех, что поставляются к нам. И при серьёзных усилиях (например, перепаять кусок от диска-донора, в котором пароль не установлен) можно будет данные прочитать.

Но если вам просто, как и мне, неприятно, что кто-то может бесстыдно покопаться в данных украденного у вас или потерянного ноутбука, то предлагаемого метода вполне достаточно.
Закрыть данные на дисках Samsung EVO можно одним из трёх способов (не нужно пытаться их комбинировать, только сломаете всё):

1. установить пароль диска ATA в BIOS

Это самый простой способ, но, практически бесполезный. Кроме user-пароля, BIOS, как правило, прописывает ещё и master-пароль, который известен сервисной службе компании-производителя компьютера, и потом добрые люди могут помочь расшифровать данные любому обратившемуся за помощью. См., например, конференции iXBT, “Снять пароль с биоса (BIOS)”.

В сети описаны примеры некрасивой работы BIOS при установке пароля ATA, кеширования пароля в BIOS и чтения его оттуда, использования hdparm вместо BIOS для установки пароля, чтения диска с установленным паролем на компьютере той же модели и т.д. При желании можете сами почитать и оценить, но меня этот способ разочаровал.

2. включить функционал eDrive и использовать BitLocker

Неплохо, но годится только для дорогих версий Windows, и не годится для linux, если что.

3. использовать функции TCG OPAL через утилиту sedutil

Крупными мазками: идея этого метода в том, что при активизации защиты, после включения питания диск, вместо своего настоящего содержимого, показывает маленький служебный раздел. Туда можно записать что угодно, но обычно это утилита, которая спросит у вас пароль и попытается скормить его диску, чтобы он заработал по-настоящему.

Плюс этого метода в том, что пароль вводится до загрузки операционной системы, то есть ничего в операционной системе менять не нужно, и некому этот пароль перехватить.

  • Компьютер нельзя переводить в состояние standby. После возобновления подачи питания на диск он будет в заблокированном состоянии. Операционная система, проснувшаяся в оперативной памяти, резко свалится.
  • Лишняя перезагрузка — после ввода пароля, когда диск открыл своё истинное содержимое, машина перезагружается, чтобы BIOS заново определил, что это за диск.

Ну, данные потерять можно запросто, если неправильно задать пароль при закрытии диска, или тут же его забыть, например. Поэтому ОБЯЗАТЕЛЬНО выполнить резервное копирование перед всеми последующими действиями.

В случае же, когда диск не поддаётся расшифровке, его обычно можно сбросить в исходное (фабричное) состояние, правда, ценой полной потери данных.

Итого: кирпич можно вернуть к жизни, но данных можно лишиться.

Вернёмся к дискам Samsung.

Готовой утилиты на служебном разделе у дисков Samsung нет. Есть коммерческие программы, которые могут туда себя прописывать, но мы воспользуемся бесплатной утилитой с открытым исходным кодом – sedutil (в девичестве — msed).

Качаем файлы из раздела executable distributions (не забудьте раскрыть архивы .gz. ):

Архив sedutil_WIN.zip – то, чем мы будем оживлять шифрование на диске, если мы работаем под Windows. Далее идёт описание работы именно под Windows. Работа c linux-версией практически не отличается. Разве что названия дисков разные, например, вместо \\.\PhysicalDrive0 будет /dev/sda.

Архивы LINUXPBARelease.img.gz или UEFI64_Release.img.gz – содержат то, что будет загружаться с маленького раздела диска, когда основное его содержимое станет заблокировано после выключения питания. Разные варианты для машин с BIOS и UEFI.

Архив Rescue.img.gz – содержит образ утилиты восстановления – если что-то пойдёт не так и захочется всё вернуть назад, а компьютер не грузится.

Записываем на флешку утилиту восстановления на всякий случай (предложенной программой Win32DiskImager) и проверяем, что можем с неё загрузиться. Заодно увидим, что работает она из командной строки linux, и убедимся, что мы его не боимся.

Также на сайте рекомендуется записать на другую флешку LINUXPBARelease.img и проверить, что при загрузке и вводе любого пароля мы увидим список дисков. Но это не так, на сайте устаревшее описание, которое забыли поменять (по состоянию на 01.01.2017). Если диск ещё не зашифрован, мы получим только сообщения об ошибках и уйдём в перезагрузку. Не расстраивайтесь, это нормально (описано в Issues на github).

Итак, из командной строки посмотрим, кто из дисков у нас способен к самошифрованию:

Закроем оба диска, но пароль для них будет один. Поскольку мы будем вводить его в командной строке, нужно, чтобы в нём не было символов, которые в командной строке имеют специальное значение, вроде всяких пробелов-слешей-кавычек-меньше-больше. Кроме того, символы, которые вы будете использовать, должны быть доступны при вводе с клавиатуры при загрузке компьютера (читай, символы QWERTY-клавиатуры). Наконец, забейте пароль в текстовый файл, сохраните его на флешку, и вставляйте его при помощи Copy-Paste в последующие команды.

Допустим, загрузочный диск у нас — PhysicalDrive1.

Пусть пароль у нас будет MyPassword.

Загружаем в служебный раздел образ загрузчика (здесь вы должны определить, какой вариант загрузчика вам нужен: BIOS или UEFI )

Тот самый момент, после которого диск начинает вести себя по-другому после выключения питания:

Зашифруем заодно и второй диск (не загрузочный). Всё то же самое, только загрузчик можно на него не записывать.

После выключения питания и включения вновь, увидим запрос пароля. Если ввели его неправильно – перезагрузка и повторный запрос. Если правильно – перезагрузка и запуск операционной системы с открывшегося раздела диска.

В случае успеха можете наблюдать, как в Windows изменились значки диcков – у них появились открытые жёлтые замочки:

В случае неудачи… Хм… Выходные длинные нынче. Начните с более подробного изучения утилиты sedutil, руководствуясь приведённой выше ссылкой.

Прежде всего, в разделе «Remove OPAL» говорится о том, как восстановить обычное поведение диска, чтобы он опять работал без подмены разделов при включении и без запроса пароля.

В разделе «PSID Revert» приводятся крайние меры, когда вы забыли/не знаете пароль, но хотите оживить диск ценой потери данных. При этом потребуется узнать уникальный номер диска (PSID), обычно написанный где-то у него на корпусе.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *