Domande frequenti per Drive Encryption 7.x (Unità Opal)
Articoli tecnici ID:
KB89333
Ultima modifica: 2024-01-10 09:26:21 Etc/GMT
Ambiente
McAfee Drive Encryption (DE) 7.1.x, 7.2.x
Riepilogo
Questo articolo è un elenco consolidato di domande e risposte frequenti. È destinata agli utenti nuovi del prodotto, ma può essere utile a tutti gli utenti.
NOTE:
In questo articolo vengono illustrate le domande relative alle unità DE e specificamente Opal.
Per visualizzare le altre domande frequenti relative alla compatibilità, all'installazione/all'upgrade, alla configurazione e alle funzionalità generali, vedere KB79784.
Aggiornamenti recenti a questo articolo:
Data
Aggiornamento
26 febbraio 2018
Implementazione di Espandi e Comprimi progettazione.
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Che cos'è l'unità Opal o Opal?
Opal
Opal è il nome di una specifica correlata alle unità autocrittografate che è stata sviluppata da un corpo di standard denominato gruppo di computing affidabile. Opal è uno standard o una specifica che dettaglia i comandi di cui l'unità deve rispondere e il comportamento standard. Lo standard è stato creato e ratificato dal gruppo di lavoro storage del Trusted Computing Group (TCG).
Unità Opal
Un'unità Opal è un disco rigido autonomo (HDD) autosufficiente che è conforme allo standard del TCG Opal. L'unità è sempre crittografata ma può essere bloccata o meno. Oltre ai componenti standard di un HDD, un'unità Opal conterrà componenti aggiuntivi come un processore di crittografia integrato che esegue tutte le operazioni di cifratura/decodifica necessarie dei dati sullo stesso HDD. Oltre ai normali mezzi di filatura (HDD), gli SSD possono anche supportare lo standard di TCG Opal. Un'unità Opal è un'unità con crittografia automatica, ma non è l'unico tipo. Sul mercato sono presenti anche altre unità proprietarie autocrittografate.
Nota TCG è un'organizzazione non a scopo di lucro creata per sviluppare, definire e promuovere standard di mercato Open, vendor-neutral, per la creazione di blocchi di calcolo affidabili e interfacce software su più piattaforme. L'unità Self-Encrypting conforme a TCG è identica a un'unità Opal.
Tutti gli utenti della mia organizzazione hanno bisogno di un'unità Opal?
No. La cifratura del software sarà sufficiente per la maggior parte degli utenti. La maggior parte dei lavoratori della produttività non noterà o avrà un impatto a causa della cifratura del software. Con DE 7.1, l'impatto della cifratura del software sui sistemi con CPU Intel che supportano AES-NI è trascurabile, rendendo la cifratura del software paragonabile in prestazioni alle unità Opal.
Quale modello di minaccia esegue un indirizzo di unità Opal?
Il caso di utilizzo principale è la perdita o il furto di laptop o desktop. Copre minacce simili come la cifratura completa del disco del software ed è stata studiata per la protezione dei dati a riposo.
Quali scenari di utilizzo sono più adatti per le unità Opal?
Le unità Opal sono adatte per gli utenti che richiedono l'I/O del disco estremamente elevato (applicazioni sensibili alle prestazioni). Esempi di questi utenti sono gli sviluppatori di software, i redattori video e gli ingegneri aeronautici. Questi utenti utilizzeranno probabilmente anche gli SSD anziché gli HDD rotanti.
Un'unità Opal SSD può preservare le prestazioni di un SSD senza compromettere la sicurezza?
Sì. Per gli utenti più sensibili, un'implementazione SSD di un'unità Opal può mantenere la velocità e le prestazioni di un SSD pur conservando tutta la sicurezza e la cifratura di un'unità Opal. Tuttavia, poiché un'unità Opal è sempre crittografata dal processore di crittografia di bordo, è difficile accertare esattamente quale degradazione delle prestazioni (se esiste) viene rilevata dall'elaborazione crittografica integrata.
Qual è l'esperienza DE come con un'unità Opal?
Le attività quotidiane di un amministratore sono esattamente le stesse, indipendentemente dal fatto che il dispositivo disponga di un'unità Opal o di un HDD normale. Lo stesso policy, il metodo di distribuzione e la gestione sono tutti uguali. Il processo di ripristino viene modificato leggermente, ma i passaggi eseguiti da un amministratore in uno scenario di ripristino sono identici. Per ulteriori informazioni su DE experience with Opal, vedi la sezione "DE experience with Opal" di questo articolo.
DE aiuta in situazioni di ripristino con un'unità Opal?
Tutti i meccanismi di ripristino standard di DE sono disponibili per gli utenti e gli amministratori, indipendentemente dal fatto che l'utente finale disponga di un'unità Opal o di un normale HDD.
Will DE supporterà altri tipi di Drive Self-Encrypting (SED)?
No. Al momento non sono disponibili piani per supportare altri tipi di SED diversi da quelli che implementano lo standard del TCG Opal.
Perché DE è ancora necessario se un'unità Opal gestisce tutta la cifratura?
Le unità Opal devono essere gestite. Fino a quando non viene gestita un'unità Opal, si comporta e risponde esattamente come un normale HDD. La combinazione di DE e ePO offre funzionalità versatili di gestione, reportistica e ripristino che sono tutte critiche per un amministratore. DE fornisce valore installando un ambiente di pre-avvio sicuro che sblocca l'unità Opal, esegue la gestione degli utenti Opal, garantisce che l'policy di cifratura dell'organizzazione venga applicata in modo continuo e, in caso di perdita, dimostri che il dispositivo è stato cifrato al momento dell'ultima sincronizzazione con ePO. Inoltre, per le organizzazioni che dispongono di una combinazione di unità Opal e HDD normali, è importante che un amministratore possa utilizzare un unico strumento per gestire, imporre le policy, segnalare i dispositivi e valutare l'esposizione al rischio potenziale dell'azienda; DE fornisce lo strumento. DE offre inoltre il vantaggio di poter supportare potenzialmente molti più utenti di un'unità Opal non gestita.
In che modo McAfee dettaglio il supporto per le unità Opal?
Il seguente articolo Details DE support for Opal Drives di diversi produttori. Include inoltre dettagli su come autocertificare un'unità Opal nel caso in cui l'unità non sia presente nell'elenco supportato. Per informazioni dettagliate, consultare KB81136.
DE supporterà le unità Opal su tutti i sistemi operativi supportati?
No. Al momento non sono disponibili piani per supportare Opal su altri sistemi operativi. I dettagli del supporto corrente sono i seguenti:
DE 7.x supporta le unità Opal su Windows 7 SP1 e versioni successive e Windows 8.x in entrambe le modalità legacy (BIOS) e UEFI.
DE 7.x supporta le unità Opal in Windows 8.x in modalità UEFI su sistemi che sono Windows 8 certificati e in cui l'OEM ha incluso il protocollo UEFI utilizzato per le comunicazioni sicure.
I sistemi UEFI in cui l'OEM non ha incluso il protocollo Secure Communications Protocol non sono supportati poiché non esiste un meccanismo in base al quale l'ambiente di preavvio può comunicare con l'unità. La cifratura del software verrà utilizzata automaticamente in questo caso.
Perché è necessario almeno SP1 per Windows 7?
Alcune unità Opal sono unità 512e; cioè, sono in realtà unità con settori di dimensioni 4096 byte, ma che emulano vecchie unità di settore a 512 byte. Windows 7 SP1 include correzioni di driver cruciali che consentono a queste unità 512e di funzionare correttamente.
Cosa accade se un utente tenta di attivare DE su un'unità Opal durante l'esecuzione di un sistema operativo non supportato?
Se DE rileva una combinazione incompatibile o non supportata del sistema operativo e dell'unità Opal, continuerà il processo di attivazione, ma utilizzerà la cifratura del software invece di utilizzare la funzionalità Opal nativa. Il sistema verrà visualizzato utilizzando la crittografia del software in ePO.
Le unità Opal saranno supportate in Mac OS X?
No. Non fino a quando Apple aggiunge supporto al proprio prodotto di FileVault Encryption.
È necessario che un amministratore gestisca i computer con unità Opal in modo diverso rispetto a quelle con un HDD standard?
No. Gli amministratori non devono trattare le unità Opal in modo diverso rispetto al normale HDD. Lo stesso policy può essere utilizzato sui laptop con unità Opal e laptop con HDD normale.
In DE policy è presente un ordine di priorità per i provider di crittografia. Che cosa fa?
Che consente all'amministratore di adattare il modo in cui il client DE Intelligent implicherà il policy su un client. Se il provider di crittografia Opal ha una priorità superiore rispetto al provider di crittografia del software, il client DE cercherà innanzitutto un'unità Opal. Se tutte le unità collegate supportano Opal, utilizzerà la funzionalità Opal per imporre il policy di cifratura. Se le unità non rispondono a questo criterio, passa al provider di crittografia successivo nell'elenco, il che significa che utilizzerà la cifratura del software per imporre il policy di cifratura. Modificando l'ordine di priorità e rendendo la cifratura del software la priorità più elevata, un amministratore può specificare che tutti i computer utilizzeranno la cifratura del software, indipendentemente dal fatto che esista un'unità Opal o un HDD normale nella macchina.
IMPORTANTE Quando il computer è dotato di un'unità Opal, le attivazioni offline utilizzano prima la crittografia Opal. Le preferenze OPAL sono hardcoded nei pacchetti di attivazione offline e non utilizzano le impostazioni di policy personalizzate.
La distribuzione è diversa da un'unità Opal?
No. È esattamente lo stesso, indipendentemente dal fatto che il sistema client disponga di un'unità Opal o di un HDD normale.
Come può un amministratore o un utente dire se un client utilizza la funzionalità Opal o la crittografia del software?
Amministratore
Esaminare il computer in ePO per verificare quale provider di crittografia sta applicando la policy di crittografia. Se è stato Opal, viene utilizzata la funzionalità Opal.
Utente
Un utente non può determinarlo direttamente ma può essere implicato nell'elenco di volumi o unità crittografati nella finestra di monitoraggio dello stato di Endpoint Encryption.
L'utente finale visualizzerà eventuali differenze nel pre-avvio a seconda che dispongano di un disco rigido standard o di un'unità Opal?
No. Il pre-avvio appare e si comporta esattamente lo stesso. Un utente finale può essere completamente ignaro dell'hardware che alimenta la cifratura sul proprio computer.
Quanto tempo occorre per andare da uno stato non crittografato a quello crittografato con un'unità Opal?
Circa un minuto. Ciò è dovuto al fatto che l'unità è tecnicamente già crittografata. Il tempo necessario per accedere da uno stato non crittografato a uno stato crittografato è il tempo necessario per attivare i meccanismi di blocco nativi dell'unità Opal e installare l'ambiente di preavvio.
DE conosce mai la chiave che crittografa i dati?
No. La chiave di cifratura non lascia mai l'unità Opal.
Come funziona il ripristino?
Le stesse procedure e strumenti di ripristino di DE possono essere utilizzati per eseguire un ripristino su un'unità Opal e un normale HDD. DETECH viene aggiornato per sapere come sbloccare un'unità Opal, sebbene non sia possibile decrittografarla poiché l'unità Opal non distribuisce mai la chiave di cifratura e non decrittografa mai il disco. DETECH sblocca semplicemente il disco per consentire l'avvio del sistema operativo.
E il software forense di terze parti? Possono lavorare con un'unità Opal?
McAfee ha lavorato con le aziende che forniscono software forense e la nostra interazione con loro rimane in gran parte lo stesso. Al posto di quelle applicazioni che richiedono DE per la chiave di cifratura, chiederanno a DE le credenziali necessarie per sbloccare l'unità. Si noti che non è possibile intraprendere una copia a livello di settore di un'unità Opal ed eseguire la decrittografia di tale copia a livello di settore utilizzando la chiave di cifratura in quanto la chiave di cifratura non può mai essere nota.
Un'unità Opal è sempre crittografata?
Sì. Indipendentemente dal fatto che l'unità sia bloccata o sbloccata, è sempre crittografata. Non è possibile disporre di un'unità Opal decrittografata.
Nota La chiave di cifratura del disco (crittografia) non può mai essere letta dall'unità. DE mostrerà solo due stati validi sbloccati e bloccati.
Qual è la differenza tra bloccato e sbloccato?
Tecnicamente, la differenza è l'accesso alla chiave di cifratura da parte del processore di cifratura a bordo dell'unità.
-Se il disco è sbloccato, il processore di cifratura integrato ha accesso alla chiave di cifratura del disco e l'unità si comporta esattamente come un normale HDD. Un utente finale non è in grado di indicare la differenza in questo stato tra un'unità Opal e un HDD normale.
-Se il disco è bloccato, la chiave di cifratura del disco è protetta ed è necessario un ambiente di pre-avvio per sbloccare il disco prima di poter accedere ai dati e il sistema operativo autorizzato all'avvio. Tenere presente che la chiave di cifratura del disco viene mantenuta interna all'unità; non è possibile leggerlo dall'unità.
Qual è lo stato predefinito di un'unità Opal?
Quando si riceve per la prima volta un'unità Opal, lo stato viene sbloccato. Si comporterà e risponderà esattamente come un normale HDD. È necessario bloccare in modo esplicito l'unità attivando il meccanismo di blocco nativo dell'unità. Un modo per eseguire questa operazione consiste nell'utilizzare DE per gestire l'unità.
In che modo è possibile eseguire l'unità da uno stato sbloccato a uno stato bloccato?
Un'applicazione, ad esempio DE, che dispone di un ambiente di pre-avvio, dovrà eseguire i passaggi necessari per attivare il meccanismo di blocco nativo dell'unità Opal e installare l'ambiente di pre-avvio. Una volta bloccata, l'ambiente di pre-avvio è necessario per sbloccare l'unità prima che il sistema operativo possa avviare il proprio processo di avvio. Senza un ambiente di pre-avvio, non sarebbe presente nulla per sbloccare l'unità e consentire l'avvio del sistema operativo.
Quando un'unità bloccata viene sbloccata, per quanto tempo rimane sbloccata?
L'unità Opal resterà sbloccata fino al successivo ciclo di alimentazione. Ciò significa che una volta sbloccata un'unità Opal resterà sbloccata fino a quando non si spegne il dispositivo o si passa a un altro stato di alimentazione in cui l'unità Opal perde energia. Tuttavia, in DE, per garantire la stessa esperienza dell'utente con la crittografia DE software, l'unità verrà bloccata in modo esplicito anche in caso di riavvio.
È possibile utilizzare un'immagine disco dell'unità e decrittografarla utilizzando uno strumento come EnCase?
No. La chiave viene creata sull'unità e l'unità non viene mai lasciata. Non è possibile per le applicazioni o altri componenti hardware chiedere all'unità le proprie chiavi e pertanto la chiave non è disponibile per l'uso in strumenti come EnCase.
Cosa devo fare se l'unità Opal è bloccata e ho dimenticato il password?
DE dispone di meccanismi di ripristino per l'assistenza.
È possibile ripristinare un'unità Opal allo stato di fabbrica predefinito?
Si è verificato un meccanismo TCG ratificato per l'esecuzione di un processo di ripristino, ma è necessario conoscere la credenziale principale dell'unità. Alcuni produttori di unità includono un ulteriore processo di ripristino non TCG in cui la credenziale principale non è nota (nota come PSID Revert). Se l'unità non supporta un PSID Revert e l'utente è bloccato (e per qualche motivo le normali funzioni di ripristino non funzionano o l'unità non risponde), l'unità è ora inutilizzabile, i dati vengono persi ed è necessario acquistare una nuova unità Opal. Se l'unità supporta un PSID REVERT, è possibile restituirlo a uno stato Factory predefinito anche senza sbloccare prima l'unità, ma tutti i dati sull'unità andranno persi. Gli strumenti sono disponibili per eseguire questa operazione (non si tratta di un caso di utilizzo supportato in DE).
Cosa accade se si verifica un errore hardware fisico e l'unità Opal smette di rispondere alle richieste di sblocco?
In questa situazione, l'unità è ora completamente non funzionante. Non è possibile eseguire alcuna azione per accedere ai dati. Prendere in considerazione i dati persi e acquistare una nuova unità Opal. Ciò è dovuto al fatto che DE non conosce la chiave di cifratura effettiva del disco; la chiave di cifratura del disco non può essere letta dall'unità.
Il pre-avvio per Opal è diverso dal preavvio per la crittografia del software?
Sì e no. Il pre-avvio deve sapere come sbloccare un'unità Opal per consentire l'avvio del sistema operativo, tuttavia il resto del pre-avvio appare e si comporta come per la crittografia del software. In realtà, gran parte del codice di preavvio viene condiviso tra le applicazioni software e pre-avvio Opal.
Sono disponibili più versioni dello standard Opal?
Sì. Ciò che è attualmente implementato è la versione 1.0. Il TCG ha pubblicato anche 2.0. Supporto per l'Opal v di TCG2.0 la specifica viene presa in considerazione per una possibile inclusione in una versione futura.
Un'unità Opal dispone di un concetto di utenti?
Sì. Una volta bloccata l'unità, è necessario un nome utente e un codice PIN per sbloccare l'unità.
Dove vengono mantenuti gli utenti?
Ogni utente è specifico e locale per ciascuna unità Opal. L'applicazione che gestisce l'unità Opal avrà bisogno di gestire anche gli utenti Opal.
Un utente Opal è lo stesso di un utente DE o di un Windows dominio?
No. Tutte e tre sono entità completamente separate.
Esiste un numero massimo di utenti Opal?
Sì. Solo un piccolo numero di utenti Opal può essere assegnato a un'unica unità Opal. Le unità Opal di produttori differenti variano in merito al numero massimo di utenti che possono supportare.
Cosa accade se si desidera assegnare più utenti DE a un dispositivo di quanto non siano disponibili come utenti Opal?
L'architettura di DE consente di assegnare il maggior numero di utenti necessario all'unità Opal, indipendentemente dalla limitazione tecnica degli utenti Opal sul dispositivo. Questa complessità è nascosta dall'amministratore e consente loro di assegnare gli utenti al dispositivo nello stesso modo in cui si tratta di un normale HDD. La raccomandazione e le limitazioni per il numero di utenti assegnati a un dispositivo rimangono costanti, indipendentemente dal tipo di unità disco rigido utilizzata.
È possibile che un'unità Opal disponga di più di una chiave di cifratura del disco?
Sì. È presente una sezione della specifica Opal che tratta l'indirizzo di blocco logico (LBA) ma può anche essere indicato come intervalli locali.
Che cos'è la gamma globale?
L'intervallo globale contiene tutti i settori del disco che non si trovano in un intervallo locale definito (Vedi sotto).
Che cos'è un intervallo locale?
Un intervallo locale è un intervallo contiguo di settori che ciascuno di essi dispone di una chiave di cifratura diversa. Questi intervalli possono essere bloccati o possono rimanere sbloccati. Ad esempio, un intervallo locale può essere applicato a una partizione, ma un intervallo non deve essere mappato esattamente a una partizione.
Perché qualcuno dovrebbe utilizzare le gamme locali?
Se si desidera che una parte specifica del disco sia sempre disponibile e accessibile, indipendentemente dal fatto che il disco si trovi in uno stato bloccato o sbloccato.
Se un intervallo locale è un intervallo contiguo di settori, cosa accade quando si definisce un nuovo intervallo?
Viene generata automaticamente una nuova chiave di crittografia per il nuovo intervallo. Se l'unità Opal supporta la ricifratura, i dati vengono decrittografati con la chiave precedente e ricrittografati con la nuova chiave. La ricifratura è una parte facoltativa dello standard, e al momento crediamo che nessun Drive lo sostenga. Se l'unità non supporta la ricifratura, sono stati persi tutti i dati precedentemente presenti in tale intervallo, in quanto sono stati eliminati in modo crittografico.
Se si utilizza uno strumento di partizione, è possibile perdere tutti i dati se si utilizzano intervalli locali?
Sì, questa è una possibilità.
Quante gamme locali possono esserci?
Lo standard Opal specifica almeno cinque (compreso l'intervallo globale).
DE supporta gli intervalli locali per specificare se le partizioni sono bloccate o meno?
No.
DE supporta S3 con unità Opal?
Sì. S3 è uno stato di alimentazione, comunemente noto come standby, Sleep o Suspend to RAM. Un sistema in uno stato S3 sembra essere disattivato. La CPU non è alimentata, la RAM è in modalità di aggiornamento lento e l'alimentatore è in modalità di alimentazione ridotta.
Le unità Opal bloccano quando non sono alimentate, è un problema?
Sì. È difficile riavviare Windows quando l'unità è bloccata e Windows non dispone di un modo per sbloccarla. Il TCG non dispone di una soluzione comune e concordata al problema S3.
Poiché S3 funziona con DE, si tratta di un'implementazione proprietaria del supporto S3?
Sì.
DE supporta una modalità mista?
Sì. Una modalità mista è definita come una situazione in cui un computer dispone di più unità HDD fisiche e dispone anche di una combinazione di unità Opal e HDD normale. Il minimo comun denominatore è sempre la cifratura del software. In caso di dubbio, la funzionalità di cifratura del software verrà utilizzata per crittografare sia l'unità Opal che il normale HDD.
Cosa accade se si dispone di un Opal e di un HDD normale all'interno di un unico computer? Will DE utilizzerà la funzionalità Opal nativa sull'unità Opal e la cifratura del software per il normale HDD?
No. Questo è ciò che viene descritto come un ambiente Mix-Mode. DE deve prendere una decisione su come intende imporre il policy di cifratura sul computer. Per impostazione predefinita, la crittografia del software verrà scelta automaticamente se si dispone di unità Opal e non Opal nello stesso computer.
È possibile utilizzare la crittografia software su un'unità Opal?
Sì. Fino a quando non è stato attivato il meccanismo di blocco nativo di un'unità Opal, un'unità Opal risponde e si comporta esattamente come un normale HDD. Nulla impedisce a un amministratore di crittografare l'unità utilizzando la crittografia del software anziché utilizzare la funzionalità nativa dell'unità Opal. Tecnicamente, i dati verranno crittografati due volte: una volta mediante la crittografia del software e in secondo luogo dall'unità Opal, ma poiché l'unità non verrà bloccata, la crittografia Opal sarà trasparente.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.