%20%E3%81%8C%E6%9C%AC%E5%BD%93%E3%81%AB%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%82%8B%E3%81%8B%E3%81%A9%E3%81%86%E3%81%8B%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
自己暗号化ハードドライブが搭載されているはずの Dell Precision M3800 を使用しています。Windows 10 を実行しています。ストレージ管理画面では、ディスクは「LITEONIT LMT-256L9M-41 MSATA 256GB SED」と表示されます。
Dell BIOS でハード ドライブのパスワードを設定しましたが、ディスクの内容がそのパスワードに関連付けられたキーによって実際に暗号化されているかどうかを確認するにはどうすればよいですか? BIOS ではその点について何が起こっているのか非常に不明瞭で、暗号消去を行うオプションも見つからないため、内容が安全であることをどのように確認すればよいかわかりません。
また、スリープ状態から復帰した後にコンピューターに強制的に HD のロックを解除するように求めることは可能か、それともハード ドライブを完全に「ロック」するにはシャットダウンする必要があるか、ご存じの方はいらっしゃいますか?
答え1
ドライブが暗号化されていることを確認する方法の 1 つは、ドライブを別のマシンに物理的に接続することです。直接 SATA 接続、または USB から SATA へのアダプタのいずれかを使用します。他のマシンはドライブを認識できますが、内容を読み取ることはできません。
2 番目の質問については、スリープ中にハード ドライブを「ロック」することはおそらくできません。マシンがスリープ状態にあるときでも、OS は低電力状態でバックグラウンドで待機しています。スリープ状態から復帰するには、ドライブにアクセスして読み取ることができる必要があります。
答え2
があるリグからドライブを取り外す必要はまったくありませんSED ドライブであるかどうかを確認し、暗号化ステータスを確認します。
ドライブのいずれかが SED [自己暗号化ドライブ] であるかどうか、およびその暗号化ステータスを確認する最も簡単で安全な方法は、Linux コマンド「hdparm」を使用することです。
1) 任意の WINDOWS OS から:
1.a) 最新のLinux Mint Xfce 64ビットOSのISOファイルを以下からダウンロードします。https://linuxmint.comISO ファイルを DVD に書き込むか、Rufus を使用して ISO ファイルから起動可能な USB を作成します。
1.b) 起動可能な DVD/USB から起動し、以下の手順に従います [「ハード ドライブ パスワード」が設定されている Dell M3800 では、起動時にドライブ パスワードの入力を求められます]。
2) 最近の Linux Mint OS [17.x、18.x、19.x] の場合:
HD/SSD を見つける: ターミナル ウィンドウを開いて次のコマンドを実行します。
blkidさん
[例: "/dev/sda"、"/dev/nvme0" など]
次のコマンドを実行して、SSD のステータスを確認します。
sudo hdparm -I /dev/xxxx
管理者のユーザー名とパスワードの入力が求められます。
書き込んだ Live DVD/USB ISO ファイルから起動する場合、ユーザー名は小文字の「mint」で、パスワードはありません。単に「Enter」を押すだけです。
上記のコマンドの「xxxx」は SED ドライブの名前です。入力ミスに注意してください。上記の「-I」は大文字の「i」であり、小文字の「L」や数字の「one」ではありません。
SED ドライブに対する上記の hdparm コマンドの典型的な出力は次のようになります。
"安全:
マスターパスワード改訂コード: 65534
サポートされている
有効
ロックされていない
凍った
期限切れではない: セキュリティカウント
サポート: 強化消去
セキュリティレベル高
セキュリティ消去ユニットの xMin。強化セキュリティ消去ユニットの xMin
論理ユニット WWM デバイス識別子: xxxxxxxxxxxxx
NAA: x
IEEE OUI: xxxxx
チェックサム: 正しい"
ドライブの結果が上記と同様である場合、HD または SSD ドライブは自己暗号化ドライブであり、ドライブはデータをオンザフライで自己暗号化しており、ドライブにエラーはありません。
コマンドが出力を返さずにエラーを返す場合、または出力の最初の行に「サポートされていません」と表示される場合は、ドライブが SED ドライブではないことを意味します。
ところで(1):BIOS を介して SED「ハード ドライブ パスワード」を設定する場合、特に LENOVO THINKPAD の場合は注意してください [一部の LENOVO THINKPAD は、選択したパスワードの文字に余分なビットを追加することで有名で、事実上 SED ドライブを破壊します。ただし、そのドライブのラベルには、ドライブのロックを解除してリセットできる PSID「工場出荷時リセット」パスワードが記載されていますが、そのドライブ上のすべてのデータが失われます。]
コマンド「hdparm」が「NOT ENABLED」の出力を返す SED ドライブに暗号化を設定する最も安全な方法は、次のように「hdparm」コマンドを使用することです。
1) コンピュータを数秒間サスペンドしてハードドライブを解凍します。再開すると、ドライブのステータスが「hdparm -I /dev/xxxx」で「UNFROZEN」と表示されます。
2) 次のコマンドを実行して SED 暗号化を設定します。
sudo hdparm --user-master u --security-set-pass 'パスワード' /dev/xxxx
ここで、xxxx は SED ドライブの名前、PASSWORD は使用するパスワードです (選択したパスワードを一重引用符で囲むことを忘れないでください)。
その後、単に「hdparm -I /dev/xxxx」コマンドを実行して暗号化のステータスを確認します。「ENABLED」と表示されます。
後で、データを失うことなく暗号化を安全に削除することにした場合は、次のコマンドを実行します。
sudo hdparm --security-disable 'パスワード' /dev/xxxx
ここで、xxxx はドライブの名前、PASSWORD は使用するパスワードです。「hdparm -I /dev/xxxx」出力のドライブ ステータスは、「SUPPORTED」、「NOT ENABLED」になります。
ところで(2):お使いのリグに暗号化対応の SED が複数あり (私のように、Samsung EVO 960 1TB M.2 NVMe が 4 台あり、さらにバックアップとして Seagate Momentus 4TB が 1 台、Dell Precision M6800 モバイル ワークステーションに搭載されています)、起動時に SED のロックを解除するためにパスワードを複数回入力したくない場合は、すべての SED ハードドライブで同じパスワードを選択するだけです。この方法なら、ハードドライブのパスワードを 1 回入力するだけで、すべての SED ドライブのロックが解除されます。