Security freeze lock что это
Security freeze lock что это
Лучший отвечающий
Вопрос
Мне надо отключить SECURITY FREEZE LOCK на жестком диске, для того, чтобы я мог отправлять на жесткий команды SECURITY_SET_PASSWORD, SECURITY_DISABLE_PASSWORD, SECURITY_UNLOCK. Как я могу это сделать?
P.S. У меня ноутбук G750JX. Интересуют разные способы, кроме ФИЗИЧЕСКОЙ манипуляции с жестким и ноутбуком (подключение HDD во время работы ноутбука)
P.S.S. Можно ли отключить через самописный драйвер?
Ответы
Windows начиная с Vista (а также XP SP3) посылает команду SECURITY FREEZE LOCK всем жестким дискам, работающим под стандартным ATA-драйвером. Сбросить команду можно только перезагрузкой диска, но естественно, если после перезагрузки грузятся те же дрова, это не решает проблему.
Все ответы
Windows начиная с Vista (а также XP SP3) посылает команду SECURITY FREEZE LOCK всем жестким дискам, работающим под стандартным ATA-драйвером. Сбросить команду можно только перезагрузкой диска, но естественно, если после перезагрузки грузятся те же дрова, это не решает проблему.
Подскажите еще, по поводу драйвера: какие использовать библиотеки/функции/классы использовать, чтобы реализовать такой драйвер?
И по поводу WinPE: Как именно с ним работать? (ATA команды и Freeze lock)
«какие использовать библиотеки/функции/классы использовать, чтобы реализовать такой драйвер?«
«И по поводу WinPE: Как именно с ним работать? (ATA команды и Freeze lock)«
WinPE это просто упрощенная версия Windows, запускающаяся с загрузочной флешки или диска. Под нее можно также как под обычную Windows, разрабатывать консольные или графические приложения и вызывать API-функции CreateFile и DeviceIoControl для отправки команд устройству.
HDD Pass frozen
Заметил в биосе, что у меня статус HDD Pass стоит frozen, а было clear.
Почему это могло произойти? Какова причина?
Какие последствия могут быть, если HDD Pass в статусе заморозки?
Можно ли при заморозке переустановить ОС начисто?
Пытался тут переустановить ОС поверх старой, с офиц дистрибутива Media Creation Tool. Раньше все ставилось без проблем. Тот же самый дистрибутив. Уже переустанавливал с него. А теперь пишет, что для установки поверх нужен инет. А у меня его нет на этом ноуте. Но думаю, что он просто не знает, что написать, пишет, что есть, а на самом деле проблема в этой заморозке. В последнее время много баловался с реестром. По этой теме в рунете мало инфы, на англоязычных сайтах пишут, что частое изменение реестра может привести к заморозке. Нашел способ, как вернуть статус в clear. Но боюсь, потому что недавно собственноручно запустил вирус, который заблокировал мне несколько клавиш, пока я его заметил. Мож поэтому жд заморозился. Если я переведу его в clear, где гарантия, что он не сожрет остальные клавиши.
Функция Frozen в DataGridView
Есть таблица (datagridview) с 30тью столбцами, как можно зафиксировать к примеру 4, 15 29 и 30.
Карта для WarCraft 3 Frozen Throne
подскажите пожалуйста карту на варик где можно играть только одним героем и качать его до.
WarCraft 3 Frozen Throne не запускается на Windows 7
Доров Народ! Помогите установил W7 дрова все стоят нормально тока вот бага Варик 3 не запускаеться.
МИР ПЕРИФЕРИЙНЫХ УСТРОЙСТВ ПК
технический журнал для специалистов сервисных служб
Система безопасности HDD. Особенности работы с дисковыми паролями.
Самыми распространенными способами ограничения доступа к конфиденциальной информации, хранящейся на диске, являются:
— создание шифрованных разделов на диске;
— архивирование с паролем;
— установка на логическом уровне пароля на файловую систему (специальными программами в boot-секторе HDD);
— физическая смена жесткого диска целиком (использование mobile rack).
Но у каждого из этих способов есть свой недостаток. Информация все равно остается на носителе, и хотя она в явном виде не доступна (программы защиты часто ограничиваются шифровкой лишь загрузочной записи, оставляя неизменной даже FAT), ее можно легко извлечь с такого диска, используя дисковые редакторы, или программы для восстановления информации, например, Easy Recovery.
Шифровка файлов «на лету» более устойчива к взлому, но для ее работы требуется постоянно находящийся в памяти резидент, перехватывающий часть API системы и создающий немалую нагрузку на центральный процессор. Кроме того, возможны сбои и «зависания» такой программы, что создает целый ряд проблем. Также не стоит сбрасывать со счета возможность повреждения шифрованного раздела, например, вирусами. Все этого приводят к значительным сложностям при последующем извлечении информации.
Система безопасности пользовательских данных должна соответствовать трем основным требованиям.
1) Во-первых, система безопасности должна быть независимой от операционной и файловой системы.
2) Во-вторых, система безопасности должна быть надежной и взламывать ее должно быть очень трудно.
3) В-третьих, система безопасности не должна отнимать вычислительные ресурсы системы.
Начиная с момента принятия ATA/ATAPI-3 в 1996 году, защиту информации можно осуществлять средствами и силами контроллера жестких дисков. Система безопасности – Security Set или Security Mode – позволяет защитить все содержимое диска не только от чтения, но и от записи, и даже от низкоуровневого форматирования. Этого удалось добиться, встроив программу защиты непосредственно в дисковый накопитель. Управление этой программой осуществляется несколькими специальными командами, предаваемыми на диск через IDE-интерфейс с помощью соответствующих утилит. Кроме того, BIOS’ы некоторых системных плат позволяют ставить пароли на современные винчестеры. Особенно актуальна система безопасности для ноутбуков, в которых наличие дисковых паролей является, фактически, обязательным.
Система безопасности
В соответствии со стандартами ATA/ATAPI (в частности, при написании данной статьи мы будем опираться на ATA/ATAPI-8) система безопасности дисков является опциональной, т.е. используется исключительно по желанию пользователя. Система безопасности позволяет управлять паролями, которые ограничивают доступ к данным, хранящимся на диске. Стандарт ATA описывает два типа паролей:
— User Password (пароль пользователя);
— Master Password (пароль администратора).
Кроме того, в стандарте описывается два уровня безопасности:
Дисковое устройство, которое оснащено системой безопасности, должно поддерживать, как минимум, следующие команды:
— SECURITY SET PASSWORD (команда установки User-пароля);
— SECURITY UNLOCK (команда снятия блокировки при вводе правильного User-пароля);
— SECURITY ERASE PREPARE (команда подготовки данных к уничтожению);
— SECUTITY ERASE UNIT (команда уничтожения данных);
-SECURITY FREEZE LOCK (команда приостановки блокирования диска);
-SECURUTY DISABLE PASSWORD (команда отмены системы безопасности, т.е. отмены User-пароля).
Возможность поддержки дисковым накопителем системы безопасности и ее текущее состояние отражается в блоке данных (блоке идентификации – паспорте), получаемом при помощи команды IDENTIFY DEVICE. В этом блоке данных, системе безопасности соответствуют два слова:
— слово с адресом 82 (наличие этого слова обязательно в блоке данных);
— слово с адресом 128 (наличие этого слова в блоке данных опционально).
Если [бит 1] слова с адресом 82 установлен в лог.1, то дисковый накопитель поддерживает систему безопасности, а если этот бит установлен в лог.0, то использование User-пароля невозможно. Слово с адресом 128 описывает текущее состояние системы безопасности и его формат представлен в табл.1.
Таблица 1.
Если бит установлен в лог.1, то диском поддерживается система безопасности. Состояние этого бита не изменяется.
Если бит установлен в лог.1, то система безопасности разрешена.
Если бит установлен в лог.1, то диск находится в состоянии LOCK (заблокирован до ввода пароля).
Если бит установлен в лог.1, то диск находится в состоянии FROZEN (пароль «заморожен»)
Бит устанавливается в лог.1, когда счетчик попыток ввода пароля превысил допустимое значение (5 попыток).
Если бит установлен в лог.1, то диском поддерживается «расширенная очистка». Состояние этого бита не изменяется.
Рассмотрим особенности паролей и уровней безопасности.
User-пароль
User-пароль служит для ограничения доступа к пользовательской информации. При установке User-пароля винчестер входит в состояние LOCK (заблокирован) и отвергает такие команды, как чтение и запись. Следовательно, информацию с запаролированного диска нельзя ни прочитать, ни изменить, ни стереть. Сделать это можно только после снятия пароля или после временного разблокирования диска. При установке User-пароля задается уровень безопасности (High или Maximum), т.е. уровень защиты является параметром команды, устанавливающей User-пароль. Уровень безопасности определяет, как будет реагировать винчестер на ввод Master-пароля. Система безопасности диска активизируется только после того, как User-пароль посылается на винчестер с помощью команды SECURITY SET PASSWORD.
Master-пароль
Master-пароль – это уникальный код, который хранится в служебной зоне накопителя, иногда в зашифрованном виде. Master-пароль не предназначен для защиты информации. Master-пароль предназначен для удаления User-пароля в случае потери последнего. При помощи Master-пароля накопитель невозможно ни заблокировать, ни разблокировать. Master-пароль можно только изменить. Установка Master-пароля никак не отражается на работе накопителя. Master-пароль устанавливается на заводе-изготовителе диска, и, в принципе, Master-пароли основных производителей HDD известны.
Уровень безопасности High
Накопитель, заблокированный с уровнем защиты High, можно разблокировать либо при помощи Master-пароля, либо при помощи User-пароля. Поэтому при защите диска стоит иметь в виду, что если Master-пароль не был своевременно изменен, то разблокировать накопитель с уровнем защиты High не составляет особого труда. Для разблокирования диска, находящегося в режиме High, используется команда SECURITY UNLOCK, пересылающая на диск Master-пароль.
Уровень безопасности Maximum
При установке уровня защиты Maximum разблокировать накопитель можно только лишь, зная User-пароль. Если же User-пароль неизвестен, но при этом известен Master-пароль, то разблокировать накопитель можно лишь с одновременным уничтожением всех данных. Если установлен уровень защиты Maximum, то для разблокирования накопителя Master-паролем используются команды SECURITY ERASE PREPARE и SECURITY ERASE UNIT, в которой указан Master-пароль.
Графическое представление принципа разблокирования диска с помощью User-пароля и Master-пароля, представлено на рис.1.
Рис. 1
Еще раз обращаем внимание читателей на то, что Master-пароль не является какой-то «универсальной отмычкой», а позволяет разблокировать накопитель только при определенном стечении обстоятельств (когда User-пароль неизвестен, но при этом установлен уровень защиты High).
Если же неизвестны ни User-пароль, ни Master-пароль, то защищенный диск становится физически негодным для хранения информации. Не зная Master-пароля, разблокировать диск практически нельзя, даже ценой потерянных данных (хотя, при определенных условиях, пароль, если он не зашифрован, можно прочитать с поверхности диска с помощью технологических команд). Поэтому работа с системой безопасности HDD требует как от пользователя, так и от сервисного специалиста предельной внимательности и осторожности.
После того, как система безопасности активизирована установкой User-пароля, доступ к данным будет заблокирован только после перезагрузки системы выключением питания, т.е. для того, чтобы пароль вступил в силу, необходимо выключить, а затем снова включить компьютер.
Интересной командой, относящейся к системе безопасности диска, является SECURITY FREEZE LOCK (блокировка или «заморозка» защиты). Выполнение этой команды вводит диск в состояние FROZEN и запрещает изменение паролей до перезагрузки системы. Главным назначением этой команды является защита установленных паролей от несанкционированных атак на систему безопасности, например, со стороны вирусов.
Представление о том, какие команды выполняются накопителем HDD при работе в различных режимах безопасности, дает таблица 2, в которой знаком «+» обозначаются исполняемые команды. «Нет» в ячейках таблицы указывает, что исполнение данной команды в данном режиме блокируется, а знаком «***» отмечены команды, разрешение на исполнение которых, осуществляется по усмотрению производителя HDD.
Таблица 2.
CFA REQUEST EXTENDED ERROR CODE
CFA TRANSLATE SECTOR
CFA WRITE MULTIPLE WITHOUT ERASE
CFA WRITE SECTORS WITHOUT ERASE
CHECK MEDIA CARD TYPE
EXECUTE DEVICE DIAGNOSTIC
IDENTIFY PACKET DEVICE
READ DMA QUEUED EXT
READ NATIVE MAX ADDRESS
READ NATIVE MAX ADDRESS EXT
READ STREAM DMA EXT
READ VERIFY SECTOR(S)
READ VERIFY SECTOR EXT
SECURITY DISABLE PASSWORD
SECURITY ERASE PREPARE
SECURITY ERASE UNIT
SECURITY FREEZE LOCK
SECURITY SET PASSWORD
SET MAX ADDRESS EXT
SET MAX SET PASSWORD
SET MAX FREEZE LOCK
SMART DISABLE OPERATIONS
SMART ENABLE/DISABLE AUTOSAVE
SMART ENABLE OPERATIONS
SMART EXECUTE OFF-LINE IMMEDIATE
SMART RETURN STATUS
WRITE DMA QUEUED EXT
WRITE DMA QUEUED FUA EXT
WRITE MULTIPLE EXT
WRITE MULTIPLE FUA EXT
WRITE STREAM DMA EXT
Рис. 2
Разницу в общей последовательности функционирования диска с установленной и неустановленной системой безопасности, демонстрирует рис.2. Кроме того, рис.3 дает представление об особенности функционирования дискового накопителя при использовании системы безопасности на примере дисков IBM.
Рис. 3
При подборе неизвестного пароля следует помнить о такой особенности системы безопасности, как ограничение количества попыток ввода пароля. Эта функция также прописана в стандартах ATA/ATAPI и суть ее сводится к следующему. Дисковое устройство должно быть оснащено счетчиком ограничения попыток. Назначением этого счетчика является предотвращение повторяющихся попыток подбора пароля. Значение счетчика декрементируется (уменьшается на единицу) при каждой ошибке ввода User-пароля или Master-пароля. Если значение счетчика достигает нуля, диск прерывает исполнение команд ввода пароля (команд SECURITY ERASE UNIT и SECURITY UNLOCK) до тех пор, пока диск не будет выключен, либо пока не пройдет аппаратный сброс системы. Начальным значением счетчика является число 5, т.е. после пяти неудачных попыток подбора пароля, система «зависает» и приходится перезагружать компьютер. После перезагрузки системы счетчик опять устанавливается в значение 5.
Состояние счетчика попыток указывается в блоке идентификации – слово с адресом 128 (бит 4, называемый EXPIRE – см. табл.1). Если этот бит установлен в лог.1, то это означает, что счетчик обнулился, т.е. уже было 5 неправильных попыток ввода пароля. После сброса системы бит 4 слова 128 опять возвращается в состояние лог.0 до следующих пяти неправильных попыток. Ограничение в 5 попыток соответствует только User-паролю, и отсутствует, если для разблокирования диска используется Master-пароль.
В стандартах ATA/ATAPI предусматривается семь состояний системы безопасности (SEC0 – SEC6). Переход диска из одного состояния в другое осуществляется при возникновении какого-либо события (ввод команды, включение/выключение питания, сброс системы). Все эти семь состояний и условия перехода накопителя из одного состояния в другое представлены на рис.4.
Рис. 4
На этом мы закончим обзор теоретических основ системы безопасности дисков, и перейдем к практическим моментам использования дисковых паролей.
Установка/снятие паролей может осуществляться различными специализированными утилитами, например такими, как:
В ноутбуках, как правило, имеются встроенные утилиты для работы с паролями. Кроме того, для установки и снятия паролей могу быть использованы программно-аппаратные комплексы, одним из которых является, например PC-3000.
При снятии пароля желательно пользоваться той же самой программой, с помощью которой данный пароль был установлен, так как в противном случае может возникнуть ситуация, когда правильно введенный пароль (с точки зрения пользователя) не принимается накопителем. Однако, справедливости ради, стоит отметить, что такая ситуация может возникнуть даже и в том случае, когда для установки и снятия пароля используется одна и та же программа. И этому явлению можно предложить несколько объяснений.
Как мы отмечали в первой части нашей статьи, в некоторых случаях разблокировать накопитель можно с помощью Master-пароля, поэтому сервисный специалист должен, по возможности, знать эти Master –пароли, или уметь находить их на диске. Некоторые Master-пароли представлены в табл.3.
Удали ненужное. Или всё, что можно сказать о DCO.
Что такое Device Configuration Overlay или сокращенно — DCO
Как работает DCO
Винчестер имеет служебную микропрограмму («прошивку»). Она определяет свойства и поведение конкретной модели накопителя. Если в процессе его жизни выяснится, что в микропрограмме допущена ошибка или можно что-то улучшить — производитель выпускает обновление прошивки.
Когда разработчики создают винчестер, они стараются заложить в него большой набор функций, чтобы соответствовать стандарту и расширить область применения изделия. Ведь его могут применять в разных устройствах: компьютерах, системах видеозаписи, музыкальном центре, автомобиле, внешнем боксе, и даже в станке с ЧПУ.
Но иногда оказывается, что некоторые функции сильно мешают. Для того, чтобы их выключить, нет смысла менять всю программу. Достаточно изменить лишь её настройки. Для этого был придуман Device Configuration Overlay — отдельный небольшой модуль, в котором эти настройки хранятся и могут меняться пользователем. При этом находящаяся на винчестере информация никак не затрагивается.
«Весёлая» история
В начале 2000-х годов производители материнских плат очень старались застраховать своих пользователей от потери содержимого BIOS — микросхемы, обеспечивающей старт компьютера. Прошивки BIOS иногда портились, а также могли быть стёрты вирусами, специально созданными для порчи Flash BIOS (например, «Чернобыль»). После такого события — компьютер становился совершенно неработоспособен, и требовал квалифицированного ремонта.
И вот, конструкторы плат придумали небольшой, и как им самим показалось — удачный лайфхак. Они стали дублировать прошивку BIOS в самый конец винчестера, где нет разделов. А чтобы пользователь и вирусы не ковырялись в ней — стали «закрывать» эту область через обрезание размера винта командой HPA. Но «недолго музыка играла».
Примерно в 2004-м году ёмкости серийно продаваемых винчестеров стремительно преодолели планку в 128 Гб, и перешли на адресацию 48 бит. И тут началось такое, что никто не ожидал. Новые жесткие диски заблокировались на объём 768Mb и заметно потрепали нервы пользователям. Ведь для их разблокировки многим пришлось обращаться в сервис. Причина оказалась в том, что встроенная в BIOS программа уменьшения объёма HDD не была рассчитана на адресацию, более чем FFFFFFFh секторов (это 268435455 x 512 = 131071 Mb — предел для 28 бит). Возникало переполнение разрядов переменной, и старшие биты обнулялись. Осложнял ситуацию описанный в моей статье глюк винчестеров фирмы Seagate.
Разумеется, даже разблокировка объёма не гарантировала спокойную жизнь в дальнейшем. Неприятность могла повториться. Для того, чтобы прервать эту свистопляску, был только один надёжный способ — отключение функции HPA. Насовсем. Обычно это делалось на аппаратно-программном комплексе через модификацию микрокода, но если винчестер поддерживал DCO — задача предельно упрощалась.
Пароль — не игрушка!
Быстрое уничтожение данных на SSD
Рассмотрим ситуацию с другой стороны. Вам необходимо быстро стереть компрометирующую информацию с накопителя. Лучше всего для этого подходят SSD. У них, в отличии от HDD, стирание данных через подсистему безопасности происходит не за десятки минут, а за пару секунд.
Однако, стереть накопитель в системе Windows непросто. Дело в том, что с целью противодействия вирусам, Windows запрещают любые действия с подсистемой безопасности, подавая в винчестер защитную команду Security Freeze lock. Отменить её можно только физически — выключив питание накопителя. Замкнутый круг? Нет.
На помощь придёт DCO.
Я делал следующий эксперимент:
Если такой финт проделать с SSD (в частности, Samsung Evo 850 поддерживают функцию DCO) — можно добиться мгновенного стирания информации, вплоть до её уничтожения вместе с операционной системой, в обход любых защит Windows.
Скрытый объём
Некоторые модели винчестеров, особенно имеющие только один диск и одну магнитную головку, выпускаются с завода с уменьшенным объёмом и по меньшей цене. Это сделано для сегментации рынка — чтобы максимально охватить весь ряд востребованных емкостей, и получить максимум прибыли. Например, так делала фирма Maxtor на моделях Diamond Max Plus 8, Diamond Max 541 и Fireball 3. Обрезаны они были, как это ни странно, через DCO. Достаточно подать такому накопителю команду Restore DCO — и пользователь получал вдвое больший объём.
Возможен и обратный процесс. Можно указать в настройках DCO другое значение ёмкости и применить настройки. Это будет аналогично действию HPA, но не будет разблокироваться с помощью HPA. Для чего применить — решайте сами.
Отключение S.M.A.R.T.
Может потребоваться в том случае, если какая-то программа без спроса лезет накопителю в S.M.A.R.T и неверно интерпретирует данные. Например, отвлекает тревожными сообщениями, замедляет работу. Или для спасения данных используется операционная система, в которую встроены S.M.A.R.T-функции, и которые нельзя отключить (к слову, за функции мониторинга S.M.A.R.T в Windows 7 отвечает файл DFDWiz.Exe). В такой ситуации отключения SMART-функций с помощью DCO даст системам понять, что винчестер не поддерживает S.M.A.R.T и проверять его не нужно.
Аналогично может потребоваться отключение других функций. Был случай, когда знакомый подключил винчестер Samsung к стационарному видеорегистратору, после чего винт перестал раскручиваться и «впал в кому». Как оказалось, в винт была подана хитрая команда, которая перевела его в режим Power-Up In Standby. Он не позволяет винчестеру работать до подачи другой команды — Disable Power-Up In Standby. Пришлось обращаться в сервис.
Как пользоваться DCO в программе Victoria
Краткая инструкция встроена в программу Victoria, начиная с версии 4.76 на вкладке DCO, и состоит из четырёх шагов:
Шаг 1: Нажимаем кнопку Identify
При этом из служебной зоны винчестера читается DCO-структура и интерпретируется программой. Те пункты, которыми можно управлять — обзаводятся галочками. Не подлежащие изменению — деактивируются.
Шаг 2: Нажимаем кнопку Restore
В винчестер подается команда, которая сбрасывает все прошлые настройки, если они были. Если же их не было (заводская неизменённая конфигурация) — накопитель выдаст ошибку. Это абсолютно нормально!
Шаг 3: Необходимо установить или снять необходимые галочки-опции HDD. Можно ввести другой размер диска (поле Max LBA).
Шаг 4: Нажимаем кнопку Apply и применяем настройки. При этом DCO-структура, изменённая программой, возвращается обратно в накопитель.
Если винчестер вернул ошибку — ничего страшного, настройки не применились. Читаем статью до конца.
Кнопка Freeze блокирует работу DCO до выключения питания. Нажимать без необходимости её не надо.
Особенности применения DCO и причины неудач
Поскольку эта система может управлять опциями безопасности накопителя, разработчиками винчестеров введено несколько зависимостей, исключающих применение DCO для нейтрализации уже задействованных функций. Для неопытного пользователя они могут быть неочевидны, но их нужно учитывать. Рассмотрим каждую из них.
Обе структуры DCO: извлечённая из HDD и поданная в него после изменений — сохраняются в виде файлов в папке с логами.
Заключение
Теперь вы знаете о DCO абсолютно всё. Вероятно, программа Victoria 4.76 стала первой свободной программой для Windows, умеющей работать с конфигурацией накопителей.
В 2019 г. DCO исполнилось 16 лет, и такие SSD-бренды, как OCZ-Vector / Octane, Plextor, Samsung по-прежнему поддерживают его. Есть DCO и во многих гибридных накопителях SSHD.
К сожалению, разработчики OCZ-Vertex и Kingston отказались от DCO. Альтернативой у них служат команды более нового протокола — Smart Command Transport. Но это совсем другая история.