1.什么是硬盘加密？

硬盘加密是使用数学算法将硬盘上的数据或整个硬盘转换为不可读代码的过程，以防止未经授权用户的访问。用户必须提供密码、指纹或智能卡才能访问加密驱动器。可以通过软件或硬件机制的方法进行加密。在客户端领域，我们大部分时间都在处理软件加密。加密可以是文件级，也可以是针对整个硬盘。

2.硬件加密与软件加密的比较

软件加密和硬件加密的主要区别在于，无法使用软件加密机制对主引导记录(MBR)进行加密。Dell 客户端计算机使用 Wave Trusted Drive Manager 作为 Dell Data Protection 或 Dell ControlPoint Security Manager 套件的一部分，使用 TPM 芯片进行基于软件的加密。企业客户可以使用 Dell Data Protection Encryption 和 DDPE Accelerator 模块，该模块在主板上的插槽中使用，使用适用于笔记本电脑的微型卡或适用于台式计算机的 PCIe 卡。硬件加密更安全，因为它将驱动器与 CPU 和操作系统隔离开来，使其更容易受到攻击。

3.什么是TPM？

可信平台模块 （TPM） 是主板上的加密微处理器，用于存储和验证驱动器的加密密钥，进而将驱动器连接到计算机。这意味着，如果加密驱动器从计算机中被盗并放置在另一台计算机中，则无法访问该驱动器。TPM 芯片用作硬盘的“网关”。加密方案中使用的 TPM 芯片的主要缺点是，如果主板需要更换，则用户可能无法再访问该驱动器。但是，Wave Trusted Drive Manager通过保留硬盘上的密钥，缓解了这一问题。（这就类似于更换主板时不丢失RAID阵列。阵列信息保存在硬盘磁条和RAID控制器EPROM中。）

4.全磁盘加密 （FDE）

完整磁盘加密只是意味着可以对整个驱动器（每个扇区）进行加密，而不是对文件、文件夹或文件计算机进行加密。由于计算机失窃或丢失的可能性增加，FDE 硬盘正在成为笔记本电脑的标准。术语“全磁盘加密”最初由 Seagate 创造，但现在是所有可完全加密的硬盘的行业术语。FDE硬盘的安全功能始终为打开状态，除非实施安全策略，否则将用作普通硬盘。

出现的一个常见问题是，是否可以在非 FDE 硬盘上使用 Wave Trusted Drive Manager 加密软件来保护整个磁盘。答案是没有 Wave Trusted Drive Manager 需要 FDE 驱动器。软件加密机制（如 Windows BitLocker）可用于使用 TPM 芯片或 USB 驱动器对非 FDE 驱动器上的卷进行加密，但不能对硬盘的操作系统 bootstrap（引导扇区）进行加密。

要访问由Wave Trusted Drive Manager完全加密的硬盘上的内容，可使用预启动验证，以便能够访问包含操作系统和用户数据的扇区。在使用 DDPA 的客户端计算机上，预引导身份验证设置由 DDPA\DCPSM 中的 Wave 软件处理。

5.什么是BitLocker？

BitLocker是Windows7中提供的全磁盘加密功能，仅可在旗舰版和企业版中使用。您可以使用BitLocker To Go帮助保护可移动数据驱动器（例如外部硬盘或USB闪存驱动器）上存储的所有文件。

与受信任的驱动器管理器不同，这些驱动器不需要是 FDE 驱动器，但 BitLocker 只能加密卷，而不能加密引导卷。使用 BitLocker 加密的驱动器可以通过预启动通过使用密码或带 TPM 的智能卡解锁。要通过预启动机制访问 BitLocker，BIOS 必须能够在启动时读取 USB 驱动器，并且必须存在两个分区，其中计算机驱动器分区至少为 100 MB，并设置为活动分区。操作系统分区已加密，并且计算机分区保持未加密状态，以便计算机可以启动。

6.高级格式 512e （4 K） FDE 硬盘的加密。

512e （4 K） 或高级格式硬盘表示驱动器的各个扇区已从 512 字节更改为 4，096 字节。第一代高级格式硬盘驱动器采用 8-512 字节扇区，并将其组合为单个 4，096 字节扇区，从而实现这一目标。在戴尔计算机中，术语 512e（模拟）来自使用硬盘固件内的转换机制来模拟传统组件和软件的 4，096 扇区外观，预计扇区为 512 字节。对高级格式 512e 硬盘的所有读取\写入均以 512 字节为增量完成，但在读取周期中，整个 4，096 将加载到内存中。因此，必须对齐512e硬盘。如果没有执行硬盘对齐，则硬盘的性能会受到严重影响。随戴尔计算机一起购买的当前硬盘驱动器已对齐。

要检测您的计算机是否具有高级格式 （512e） 驱动器，请下载 Advanced Format 硬盘检测工具。 

较旧的操作系统需要分区对齐，建议用于新的操作系统，以确保不同扇区大小的硬盘驱动器之间的正确硬盘性能和映像。

7.加密软件无法识别硬盘。

对于Wave Trusted Drive Manager，硬盘必须是全磁盘加密(FDE)硬盘，且必须将“SATA操作”设置为ATA\AHCI\IRRT，而不是RAID On\RAID。第三方加密程序的情况可能如此。

请咨询供应商，以了解BIOS设置要求。

如果使用的是操作系统映像，尤其是Windows XP，请检查硬盘对齐。确保已将所有更新应用到映像，然后再进行加密。

如果正在使用第三方加密软件，请与供应商联系，以确保软件与计算机中的硬件以及统一可扩展固件接口 （UEFI） BIOS 配合使用。

8.启动前问题。

• 如果用户遇到启动前身份验证问题，请检查他们使用的身份验证机制：密码、指纹或智能卡
• 对于密码，请确保它们使用正确的密码，并检查是否正确设置了 Cap lock 和 Num Lock。
• 如果使用指纹，请确保他们使用正确的手指，并且不会太快地滑动。三次无效的滑动应触发密码提示。
• 对于智能卡，请检查以确保使用正确的卡、正确插入并检查是否有任何损坏。如果可能，请尝试使用另一张卡。
• 如果在域上，请确保它们未切换到本地登录。它们必须使用与建立加密时相同的凭据。
• 如果用户声明启动前身份验证在重新启动时不起作用，请检查 BIOS 以确保未启用密码旁路。此功能在早期 BIOS 版本中不起作用，但已修复。确保客户正在使用最新的 BIOS。
• 如果用户丢失了密码或不再受雇，则戴尔将无法恢复Trusted Drive Manager加密的密码。对于第三方应用程序，请参阅该供应商以获得支持。