目录：

什么是硬盘加密？

硬件加密与软件加密的比较

什么是TPM？

Full Disk Encryption (FDE)

什么是BitLocker？

高级格式 512e （4 K） FDE 硬盘加密

加密软件无法识别硬盘

启动前问题

添加第三方加密软件后，系统无法启动。

加密和作系统重新安装

密码或密钥丢失

1.什么是硬盘加密？

硬盘加密是使用数学算法将硬盘上的数据或整个硬盘转换为不可读代码的过程，以防止未经授权用户的访问。用户必须提供密码、指纹或智能卡才能访问加密的驱动器。可以通过软件或硬件机制的方法进行加密。在客户端领域，我们大部分时间都在处理软件加密。加密可以在文件级别进行，也可以针对整个硬盘进行。

返回页首

2.硬件加密与软件加密的比较

软件加密和硬件加密的主要区别在于，无法使用软件加密机制对主引导记录(MBR)进行加密。Dell 客户端计算机使用 Wave Trusted Drive Manager 作为 Dell Data Protection 或 Dell ControlPoint Security Manager 套件的一部分，搭配 TPM 芯片进行基于软件的加密。企业客户可以将 Dell Data Protection Encryption 和 DDPE 加速器模块用于主板上的插槽中，使用笔记本电脑的迷你卡或台式计算机的 PCIe 卡。硬件加密更安全，因为它将驱动器与 CPU 和作系统隔离开来，大大降低了受到攻击的能力。

返回页首

3.什么是TPM？

可信平台模块 （TPM） 是主板上的加密微处理器，用于存储和验证驱动器的加密密钥，进而将驱动器与计算机关联起来。这意味着，如果加密驱动器从计算机中被盗并放入另一台计算机中，则无法访问该驱动器。TPM 芯片用作硬盘的“网关”。加密方案中使用的 TPM 芯片的主要缺点是，如果主板需要更换，用户可能无法再访问驱动器。但是，Wave Trusted Drive Manager通过保留硬盘上的密钥，缓解了这一问题。（这就类似于更换主板时不丢失RAID阵列。阵列信息保存在硬盘磁条和RAID控制器EPROM中。）

详细信息：如何对 TPM 和 BitLocker 常见问题进行故障处理以及解决这些常见问题

返回页首

4.Full Disk Encryption (FDE)

全磁盘加密仅仅意味着可以对整个驱动器（每个扇区）进行加密，而不用对文件、文件夹或文件计算机进行加密。由于计算机被盗或丢失的可能性增加，FDE 硬盘正成为笔记本电脑的标准配置。术语“全磁盘加密”最初是由希捷创造的，但现在是所有可以完全加密的硬盘的行业术语。FDE硬盘的安全功能始终为打开状态，除非实施安全策略，否则将用作普通硬盘。

一个常见的问题是，是否可以在非FDE硬盘上使用Wave Trusted Drive Manager加密软件来保护整个磁盘。答案是否定的，Wave Trusted Drive Manager 需要 FDE 驱动器。软件加密机制（如 Windows BitLocker）可用于加密使用 TPM 芯片或 USB 驱动器的非 FDE 驱动器上的卷，但不能加密硬盘驱动器的作系统引导程序（启动扇区）。

要访问由Wave Trusted Drive Manager完全加密的硬盘上的内容，可使用预启动验证，以便能够访问包含操作系统和用户数据的扇区。在使用 DDPA 的客户端计算机上，启动前身份验证设置由 DDPA\DCPSM 中的 Wave 软件处理。

返回页首

5.什么是BitLocker？

BitLocker是Windows7中提供的全磁盘加密功能，仅可在旗舰版和企业版中使用。您可以使用BitLocker To Go帮助保护可移动数据驱动器（例如外部硬盘或USB闪存驱动器）上存储的所有文件。

与受信任的驱动器管理器不同，这些驱动器不需要是 FDE 驱动器，但 BitLocker 只能加密卷，而不能加密启动卷。使用 BitLocker 加密的驱动器可以使用密码或具有 TPM 的智能卡通过预启动解锁。要通过预启动机制访问 BitLocker，BIOS 必须在启动时能够读取 USB 驱动器，并且必须存在两个分区，其中计算机驱动器分区至少为 100 MB 并设置为活动分区。作系统分区已加密，并且计算机分区保持未加密状态，因此计算机可以启动。

使用 BitLocker 不需要 TPM，但强烈建议在预启动时使用 TPM，以提高安全性。Windows 更新不需要禁用 BitLocker，但其他更新可能需要禁用它。与其他加密应用程序一样，建议将恢复密钥 （PIN） 存储在可移动介质或其他安全位置。如果用户没有恢复PIN，则无法解锁该硬盘。如果计算机无法启动以进入 BitLocker 恢复控制台，或者硬盘出现故障，则可以下载 BitLocker 修复工具并将其解压到可启动密钥或 CD 中，以从驱动器恢复数据。您必须有PIN才能访问数据。

如果用户位于使用 Active Directory 的域中，并且其管理员设置了 BitLocker，则 PIN 可能存储在 Active Directory 中，因此请他们咨询其 IT 部门。

详细信息：如何对 TPM 和 BitLocker 常见问题进行故障处理以及解决这些常见问题

返回页首

6.高级格式 512e （4 K） FDE 硬盘加密。

512e （4 K） 或高级格式化硬盘仅仅意味着驱动器的各个扇区已从 512 字节更改为 4,096 字节。第一代高级格式硬盘驱动器采用 8-512 字节扇区并将它们组合成一个 4,096 字节扇区来实现这一点。在戴尔计算机中，术语 512e（仿真）源于使用硬盘固件内的转换机制来模拟旧组件和软件的 4,096 扇区外观（预期为 512 字节扇区）。对高级格式 512e 硬盘的所有读/写都以 512 字节为增量，但在读取周期内，整个 4096 会加载到内存中。因此，必须对齐512e硬盘。如果没有执行硬盘对齐，则硬盘的性能会受到严重影响。随戴尔计算机一起购买的当前硬盘已对齐。

要检测您的计算机是否具有高级格式化 （512e） 驱动器，请下载高级格式化硬盘检测工具。

较旧的作系统需要分区对齐，建议用于新作系统，以确保不同扇区大小的 HDD 之间具有适当的硬盘性能和映像。

驱动器对齐可以使用多种工具完成，这些工具可从戴尔支持站点的“SATA Drives”部分下的计算机 “驱动程序和下载 ”下载。

返回页首

7.加密软件无法识别硬盘。

对于Wave Trusted Drive Manager，硬盘必须是全磁盘加密(FDE)硬盘，且必须将“SATA操作”设置为ATA\AHCI\IRRT，而不是RAID On\RAID。第三方加密程序可能就是这种情况。

请咨询供应商，以了解BIOS设置要求。

如果使用的是操作系统映像，尤其是Windows XP，请检查硬盘对齐。在加密之前，确保所有更新都已应用于映像。

如果在使用第三方加密软件，请与供应商联系，以确保该软件可与计算机中的硬件以及统一可扩展固件接口 （UEFI） BIOS 配合使用。

返回页首

8.启动前问题。

如果用户遇到启动前身份验证问题，请检查他们使用的是哪种身份验证机制：密码、指纹或智能卡

对于密码，确保它们使用正确的密码，并检查 Cap Lock 和 Num Lock 设置是否正确。

如果使用指纹，请确保他们使用的是正确的手指，并且滑动速度不会太快。三次无效的滑动应该会触发密码提示。

对于智能卡，请检查以确保使用正确的卡、正确插入，并检查是否有任何损坏。如果可能，请尝试使用另一张卡。

如果在域上，请确保他们尚未切换到本地登录。它们必须使用与建立加密时相同的凭据。

如果用户声明重新启动时预启动身份验证不起作用，请检查 BIOS 以确保未启用密码绕过。此功能在早期 BIOS 版本中不起作用，但后来得到了修复。确保客户使用的是最新的 BIOS。

如果用户丢失了密码或不再受雇，则戴尔将无法恢复Trusted Drive Manager加密的密码。对于第三方应用程序，请咨询该供应商以获得支持。

返回页首

9.添加第三方加密软件后，系统无法启动。

打开计算机电源，然后在启动过程中按 F12键以进入 BIOS 启动菜单。您可能需要在启动期间反复按下按键，以便使BIOS在正确时间识别按键。使用向上和向下箭头键选择 <菜单上的 Diagnostics，然后按 Enter> 键。

运行增强型预引导系统评估诊断程序 （ePSA） 以确保驱动器未处于故障状态且未报告任何错误。如果您有高级格式化 （512e） 驱动器，请确保在执行加密之前已正确对齐驱动器。

请咨询第三方供应商以获取恢复选项。大多数公司都有恢复实用程序，用户可将其加载到可引导密钥或光盘上。此外，如果此特定软件在此型号的计算机上存在任何问题，请查看供应商站点以了解计算机平台问题。

返回页首

10 加密和作系统重新安装

如果加密硬盘上的操作系统损坏并且需要重新安装，则可能出现这样一种情况，由于硬盘处于锁定状态，因此Windows安装盘可能无法识别该硬盘。对于使用Wave Trusted Drive Manager加密的硬盘，重新安装操作系统前，必须解锁该硬盘。

请参阅 Wave 站点上的支持文档，了解如何在重新安装 之前解锁驱动器。

对于第三方加密软件，请咨询供应商以了解正确的步骤，然后再尝试重新安装。

返回页首

11 丢失密码或加密密钥

如果用户丢失了其预启动密码、加密密钥，或者最终用户已离开公司，大多数加密应用程序供应商都会提供故障保护机制用于恢复。由于行业标准数据策略，恢复机制必须由客户启动。这是通过将密码\密钥保存到可移动存储或网络位置来完成的。如果实施了全磁盘加密，并且用户丢失了密码\密钥，则戴尔无法帮助他们恢复驱动器的密码\密钥。在此情况下，用户需要更换硬盘。此问题不在保修范围内，因为加密按设计运行并保护数据免遭入侵。更换驱动器将由用户承担费用。Wave 可以帮助解决用户名问题。用户必须拥有 Wave 的密码才能帮助忘记用户名。不幸的是，如果用户忘记、丢失或没有密码，Wave 无法提供帮助。

如果以上步骤未解决此问题，请致电戴尔技术支持以获得帮助。

返回页首