DELL E6500 : Remplacement du disque dur d origine par un disque dur chiffrant Table des matières Objectif du document... 2 Contexte... 2 Réflexion sur l utilisation... 2 Ordre des actions... 2 Comment reconnaitre le disque chiffrant quand les deux sont sur la table... 3 Bios... 3 Pour la culture... 4 Changer pour le mode AHCI... 4 Installer l OS... 4 Installation de DELL ControlPoint... 5 Initialiser le disque chiffrant... 5 Ajouter un utilisateur... 9 Trusted Drive Manager (TDM) Overview... 11 Description:... 11 How do I turn on my Trusted Drive... 12 OS Recovery for self-encrypting drives... 13 Problem:... 13 Solution:... 13
Objectif du document Donner des conseils sur le remplacement d un disque d origine par un disque chiffrant sur un DELL E6500. Contexte Avant de commencer, il faut sauvegarder sur un serveur l ensemble des données utilisateurs, car il faudra les rapatrier sur le nouveau disque chiffrant. Sur les portables DELL, il est nécessaire de modifier le BIOS pour bénéficier du chiffrement à la volée offert par les disques chiffrants Seagate. Si vous gardez le mode IRRT, mode par défaut pour les disques non chiffrants installés, à l'installation du logiciel Embassy, vous ne pourrez pas chiffrer à la volée, vous serez obligé de revenir dans le BIOS changer pour le mode AHCI mais vous serez obligé de réinstaller tout l'os il vaut mieux le faire dans le bon ordre Réflexion sur l utilisation Il faut aussi réfléchir à l utilisation du PC et au nombre de personnes qui devront s en servir. Le logiciel de chiffrement à un administrateur. Nous avons décidé de déclarer l administrateur du domaine Windows. Cet administrateur ajoutera les utilisateurs du disque. Il est possible pour faciliter la vie des utilisateurs de synchroniser le mot de passe du disque avec celui de Windows, mais ce n est pas un obligation. Ordre des actions 1. Démonter et remplacer le disque dur par le disque seagate chiffrant 2. Bios : mettre le mode AHCI 3. Installer l OS 4. Installation des logiciels DELL ControlPoint 5. Initialisation du disque chiffrant 6. Ajout d utilisateurs Démonter le disque du portable Pas de réel problème au démontage du disque. Il faut démonter le socle du PC et sortir le disque dur.
Images extraites de la documentation DELL disponible sur le site web de DELL Images extraites de la documentation DELL disponible sur le site web de DELL Comment reconnaitre le disque chiffrant quand les deux sont sur la table Le disque d'origine est un disque seagate 160Gb marqué (en haut à droit du disque) Momentus 7200.3 16Gb. le disque chiffrant est marqué Momentus 7200 FDE.2 160Gb Bios Le disque doit être en mode AHCI pour bénéficier du chiffrement à la volée. Si vous omettez cette étape vous ne pourrez jamais initialiser le chiffrement sur le disque. Et comme
le fait de changer ce mode oblige à réinstaller l OS, vous économiserez du temps en le faisant de suite. Pour la culture L'Advanced Host Controller Interface (AHCI) est un mécanisme matériel permettant à la couche logicielle de communiquer avec des périphériques SATA tels que les adaptateurs de bus hôte, qui sont conçus pour offrir des vitesses de transfert supérieures et des fonctionnalités que ne proposent pas les contrôleurs ATA standards, tels que le branchement à chaud ou encore le NCQ. L'AHCI est supporté nativement par Microsoft Windows Vista, Microsoft Windows 7 et par Linux à partir du noyau 2.6.19. Les systèmes d'exploitation plus anciens nécessitent des pilotes, développés par le constructeur de l'adaptateur de bus hôte, afin de supporter l'ahci. Changer pour le mode AHCI Au démarrage du PC faire F2 pour accéder au BIOS [System Configuration] [SATA] cochez AHCI => nécessite de réinstaller l'os, c'est pour cela qu'il faut le faire en premier lieu!!! Installer l OS Ici un Windows 7 64 bits. J ai fait adhérer le PC au domaine active directory avant d initialiser le chiffrement du disque. Les clients admin et les users seront pris dans l active directory. Ils peuvent être pris en local, s ils ont été déclarés au préalable.
Installation de DELL ControlPoint Cette installation est nécessaire pour la prise en compte du chiffrement du disque. Il faut télécharger sur le site de DELL les dernières versions. J ai téléchargé et installé dans l ordre. o ControlPoint Security Drivers A18 R269916 o Dell_ControlPoint-Security-D_A18_R269916.exe o A la suite de cette installation il a fallu mettre à jour les microcodes ControlVault. Dernière version au moment de l installation 14.6.132.0 o ControlVault Micrologiciels o Dell_ControlVault_A17_R267128.exe o ControlPoint Security Manager ApplicationA18 R269916 o APP-WIN-R276445.exe o Il faut absolument prendre l installation personnalisée et Cocher TRUSTED DRIVE MANAGER sinon vous ne verrez pas le disque dans le logiciel EMBASSY o Installation DELL ControlPoint Connection Manager V1.4 o APP_WIN-R2542200.exe Initialiser le disque chiffrant Suite à ces installations Ouvrir l application EMBASSY Security Manager
Initialiser le disque en cliquant sur Initialiser (trop fort)
Pour une sécurité maximum choisir NON Initialiser le mot de passe de l'administrateur Trusted Drive Pour nous le même que celui du domaine Windows A la suite de cette manip le menu Embassy donne la possibilité de gérer les utilisateur
Pour ajouter un utilisateur cliquez sur gérer.
Ajouter un utilisateur
Vous avez la possibilité de choisir un utilisateur de l active ou local au PC. Vous pouvez en cochant [Synchroniser le mot de passe] le synchroniser avec l active. Dans ce cas il n y a pas besoin de le rentrer au démarrage de Windows.
Trusted Drive Manager (TDM) Overview Description: Wave Trusted Drive Manager (TDM) provides management functions for Trusted Drives. TDM enables the security of hardware-based Data protection. TDM prevents data access by unauthorized persons TDM protects data in the case of a lost or stolen PC or a lost or stolen hard drive TDM manages the hardware-based security functions of Trusted Drives. Trusted Drives have data encryption embedded in the drive hardware. This ensures that all data stored on the drive is encrypted all the time. TDM ensures that only authorized users can access encrypted data when drive locking is enabled. The Trusted Drive security must be initialized to activate drive locking. An uninitialized Trusted Drive functions as a standard ATA drive. When Trusted Drive security is initialized, drive locking can be enabled or disabled. The default state of initialization is drive locking enabled. The behavior of an initialized drive is as follows: Drive Locking enabled: The Trusted Drive will not boot unless the user enters the correct username and password into the pre-boot authentication console. If the drive is plugged into another machine as a secondary drive, data on the Trusted Drive cannot be read. All the data, including the file system is fully encrypted. Drive Locking disabled: Drive data can be read by anyone who has platform access. Drive data can also be read if the drive is plugged into another PC as a secondary drive. TDM provides the following drive administrator capabilities: Initialize drive security Manage the drive security settings Manage drive users Perform pre-boot authentication TDM provides the following user level capabilities: Manage a user s drive password Perform pre-boot authentication Caution: If drive security is initialized, it must be uninitialized using TDM, before removing/un-initializing the Wave ESC management software. Uninstalling Wave management software does not automatically deactivate the security functions of the drive. Note: The TDM option is only available for systems equipped with Trusted Drive and TDM client software.
Article ID: TDM-001 Last Reviewed: October 8, 2009 How do I turn on my Trusted Drive To Initialize a new Trusted Drive: 1. Log on to the computer and ensure that you have administrative privileges for the PC. 2. Click I Accept when the End User License Agreement appears. 3. If the EMBASSY Security Setup Wizard does not appear automatically, go to Start > All Programs > Security by Wave Systems > Security Setup Wizard. 4. Press Next twice to get to the Configure Trusted Drive screen. Ensure that the box next to Initialize Trusted Drive is checked and press Next. 5. The Trusted Drive Initialization Wizard will appear. To establish yourself as the drive administrator, enter your username that you used to log into the computer (if not already filled in) and create a password. This will be the preboot password that you will need when powering up the Trusted Drive. This does not have to be the same password as your Windows logon password, but it does need to meet the same password complexity requirements. Press Next. 6. Select a location off of the local hard drive to store the administrator s username and password for recovery purposes. 7. The drive administrator that you created above will be a Trusted Drive user. Next, you can add other valid Windows users as Trusted Drive users if other people will be using the PC. 8. Click Finish and Done to exit the Trusted Drive Initialization Wizard. 9. View the status and click Finish to exit the EMBASSY Security Setup Wizard. 10. The wizard has now initialized the Trusted Drive s pre-boot authentication and set up the administrator and users of the drive. Shut down the system and then power-up to the system to start using the Trusted Drive. You should see the preboot authentication screen. Enter your credentials that you set up in step 5 above to log in to the drive. For more detailed instructions please see the following documents: Wave TDM Getting Started Guide Article ID: TDM-002 Last Reviewed: October 8, 2009
OS Recovery for self-encrypting drives Problem: The OS has become corrupt on a self-encrypting drive that is currently locked. Since the drive is currently locked, a Windows Boot disk does not recognize the drive and cannot recover the OS. Solution: In the event that the OS has become corrupt on a self-encrypting drive, please select one of the following methods to recover the drive: Procedure 1 Accessing self-encrypting drives in an event of Windows OS corruption 1. Power up the unit when the Machine boots Drive will prompt you to present your Authentication credential. 2. Enter your credentials to authenticate to the locked drive. 3. After successful authentication halt the boot process by pressing F8 several times and Machine will halt the boot process. ( DO NOT RESTART AT THIS POINT) 4. At this point drive is successfully unlocked. 5. Place CD containing Operating System Repair CD or WIN-PE CD in the CD tray and press CTRL+ALT+DEL to RESTART the unit. 6. The WIN PE or OS CD will now be able to access the self-encrypting hard drive. Procedure 2 Use of an esata external enclosure Note: Wave supports use of the StarTech 2.5" esata & USB Drive Enclosure SAT2510U2E 1. Remove the drive from which data needs to be recovered from the original system and note the Drive serial number. 2. Place drive to be examined into esata enclosure and connect to a host system with primary drive that contains Wave client software properly configured for remote management. It is recommended to perform this step while unit is turned off. 3. Turn on the Host System and allow it to boot into windows. 4. From within EMBASSY Security Center, select Trusted Drive Manager and in the dropdown menu, select the appropriate drive. 5. Compare your noted Drive serial number to the number listed in TDM to ensure you have selected the correct drive. 6. Select Manage and enter in the credentials of the drive administrator. The drive administrator is the original user used to initialize the drive. 7. Turn off drive locking, and uninitialize the drive. 8. With the drive now uninitialized, you may place it back in its original machine and boot to a Windows PR or OS CD to repair or reinstall the OS.
Article ID: TDM-006 Last Reviewed: March 1, 2010 Autre réponses 1. Can multiple user accounts be configured on a single self-encrypting drive? Yes, Embassy Trusted Drive Manager supports whatever the drive allows, which varies by drive manufacturer. Seagate drives currently allow up to 4 users. 1. How do I recover from a lost or forgotten password? In the standalone client configuration, the Drive Administrator password for the self-encrypting drive is placed in a file and the Drive Administrator is instructed to store that file in a physically secure location (USB drive in a safe place, for example). Or after creating the Drive Administrator (first user), the user ID and password can be written down and stored in a secure location. In an enterprise configuration, ERAS maintains a recovery password which can be provided to the user in the event of a lost or forgotten password.