web-dev-qa-db-ja.com

自己暗号化ドライブ(SED)が実際に暗号化されていることを確認する方法は?

自己暗号化されたハードドライブを搭載することになっているDellPrecisionM3800を持っています。 Windows 10を実行しています。[ストレージ管理]画面で、ディスクが「LITEONIT LMT-256L9M-41 MSATA256GBSED」であると表示されます。

Dell BIOSでハードドライブのパスワードを設定しましたが、ディスクの内容がそのパスワードに関連付けられたキーによって実際に暗号化されていることを確認するにはどうすればよいですか? BIOSはその面で何が起こっているのか非常に不明確であり、暗号消去を行うオプションが見つからないため、コンテンツが安全であることを確認する方法がわかりません。

また、スリープから復帰した後、コンピュータにHDのロックを解除するように強制することが可能かどうか、またはハードドライブを完全に「ロック」するためにシャットダウンする必要があるかどうかを誰かが知っていますか?

windowshard-drivebiosfdeself-encrypting-drive
5
mwhidden

ドライブが暗号化されていることを確認する1つの方法は、ドライブを別のマシンに物理的に接続することです。直接SATA接続、またはUSB-SATAアダプターのいずれか。他のマシンはドライブを認識できるはずですが、内容を読み取ることはできません。

2番目の質問については、スリープ中にハードドライブを「ロック」することができない可能性があります。マシンがスリープしているときでも、OSは低電力状態でバックグラウンドで待機しています。スリープ状態から抜け出すには、ドライブにアクセスして読み取ることができる必要があります。

2
Keltari

SEDドライブであるかどうかを確認し、暗号化ステータスを確認するために、リグからドライブを削除する必要はまったくありません!

ドライブのいずれかがSED [Self-Encrypting Drive]であり、その暗号化ステータスがLinuxコマンド「hdparm」を使用しているかどうかを確認する最も簡単で安全な方法は次のとおりです。

1)任意のWINDOWS OSから:

1.a)最新のLinux Mint Xfce 64ビットOSのISOファイルを https://linuxmint.com からダウンロードし、ISOファイルをDVDに書き込むか、Rufusを使用して起動可能なUSBを作成します。 ISOファイルから。

1.b)起動可能なDVD/USBから起動し、以下の手順に従います[「ハードドライブパスワード」が設定されたDell M3800では、起動時にドライブパスワードの入力を求められます]。

2)最近のLinux Mint OS [17.x、18.x、19.x]から:

  • hD/SSDを見つけます。ターミナルウィンドウを開き、次のコマンドを発行します。

    blkid

[例: "/ dev/sda"、 "/ dev/nvme0"など]

  • コマンドを実行して、SSDのステータスを見つけます。

    Sudo hdparm -I/dev/xxxx

  • 管理者のユーザー名とパスワードを入力するように求められます。

  • Live DVD/USB ISOファイルから起動する場合、ユーザー名は小文字の「ミント」であり、パスワードはありません。「Enter」キーを押すだけです。

  • 上記のコマンドでは、「xxxx」はSEDドライブの名前です。タイプミスに注意してください。上記の「-I」は大文字の「i」であり、小文字の「L」や数字の「1」ではありません。

上記のSEDドライブのhdparmコマンドの一般的な出力は次のとおりです。

「セキュリティ:

マスターパスワード改訂コード:65534

サポートされています

有効

ロックされていません

フローズン

有効期限が切れていない:セキュリティカウント

サポート:強化された消去

セキュリティレベルが高い

セキュリティ消去ユニットのxMin。強化されたセキュリティ消去ユニットのxMin

論理ユニットWWMデバイスID:xxxxxxxxxxxxx

NAA:x

IEEE OUI:xxxxx

チェックサム:正解」

ドライブの結果が上記と同様である場合、HDまたはSSDドライブは自己暗号化ドライブであり、ドライブはオンザフライでデータを自己暗号化しており、ドライブにエラーはありません。

コマンドが出力を返さずにエラーを返す場合、または出力の最初の行に「サポートされていません」と表示されている場合は、ドライブがSEDドライブではないことを意味します。

BTW(1):BIOSを介してSEDの「ハードドライブパスワード」を設定する際の注意、特にLENOVOTHINKPADの[これらのLENOVOTHINKPADの悪名高いADDSの一部選択したパスワードの文字に余分なビットを追加し、SEDドライブを効果的にブリックして、ドライブのラベルにPSID「出荷時設定へのリセット」パスワードを設定します。これにより、ドライブのロックを解除してリセットできますが、そのドライブのすべてのデータが失われます。 !]。

コマンド「hdparm」が「NOTENABLED」の出力を返すSEDドライブに暗号化を設定する最も安全な方法は、以下のように「hdparm」コマンドを使用することです。

1)コンピュータを数秒間停止して、ハードドライブのフリーズを解除します。 「hdparm-I/dev/xxxx」でドライブのステータスを再開すると、「UNFROZEN」と表示されます。

2)コマンドを実行してSED暗号化を設定します。

Sudo hdparm --user-master u --security-set-pass'PASSWORD '/ dev/xxxx

ここで、xxxxはSEDドライブの名前であり、PASSWORDは必要なパスワードです(選択したパスワードを単一引用符で囲むことを忘れないでください!)。

その後、コマンド「hdparm -I/dev/xxxx」を実行して、暗号化のステータスを確認します。「ENABLED」と表示されます。

後で、データを失うことなく暗号化を安全に削除することにした場合は、次のコマンドを実行します。

Sudo hdparm --security-disable'PASSWORD '/ dev/xxxx

ここで、xxxxはドライブの名前であり、PASSWORDは使用するために選択したパスワードです。「hdparm-I/dev/xxxx」出力のドライブステータスは「SUPPORTED」、「NOTENABLED」になります。

BTW(2):リグに複数の暗号化対応SEDを所有している場合(私のように、4つのSamsung EVO 960 1TB M.2NVMeと1つSeagate Momentus4TBをDellPrecision M6800モバイルワークステーションのバックアップとして使用し、起動時にパスワードを複数回入力してSEDのロックを解除したくない場合は、すべてのSEDハードドライブで同じパスワードを選択するだけです。この方法では、ハードドライブのパスワードを1回入力するだけで、SEDのすべてのドライブのロックが解除されます。

0
CryptoMaster