Механизм защиты информации на локальных дисках компьютера (механизм защиты дисков) предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера.
Загрузка считается санкционированной, если она выполнена средствами операционной системы с установленным клиентским ПО Secret Net. Все другие способы загрузки ОС считаются несанкционированными (например, загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере). Механизм обеспечивает защиту информации при попытках доступа, осуществляемых с помощью штатных средств операционной системы.
Действие механизма защиты дисков основано на модификации загрузочных секторов (boot-секторов) логических разделов на жестких дисках компьютера. Содержимое загрузочных секторов модифицируется путем кодирования с использованием специального ключа, который автоматически генерируется при включении механизма. Модификация позволяет скрыть информацию о логических разделах при несанкционированной загрузке компьютера — разделы с модифицированными загрузочными секторами будут восприниматься системой как неформатированные или поврежденные.
При санкционированной загрузке компьютера осуществляется автоматическое раскодирование содержимого boot-секторов защищенных логических разделов при обращении к ним. Выбор логических разделов, для которых устанавливается режим защиты (то есть модифицируются boot-секторы), осуществляет администратор.
Для реализации защитных функций механизма физический диск, с которого выполняется загрузка ОС, должен быть с основной загрузочной записью (Master Boot Record — MBR). При этом для загрузки системы должен использоваться MBR-загрузчик. Не поддерживаются варианты загрузки системы в режиме UEFI (Unified Extensible Firmware Interface), когда запуск загрузчика осуществляется со скрытого системного UEFI- раздела. Для использования механизма на компьютере с UEFI должна быть включена поддержка загрузки в режиме BIOS (legacy).
При включении механизма на загрузочном диске модифицируется MBR и часть остального пространства нулевой дорожки диска. Кроме того, часть служебных данных Secret Net сохраняется в системном реестре. Механизм обеспечивает защиту до 128 логических разделов при общем количестве физических дисков до 32. Логические разделы, для которых устанавливается режим защиты, должны иметь файловую систему NTFS, FAT32 или FAT16. Разделы могут быть на физических дисках с основной загрузочной записью (MBR) или с таблицей разделов на идентификаторах GUID (GUID Partition Table — GPT). Диски с другими типами разбиения на логические разделы не поддерживаются (например, динамические диски).
При использовании механизма защиты дисков на компьютере должна быть установлена только одна операционная система. Если установлено несколько ОС, после включения механизма в одной из них не гарантируется устойчивая работа остальных ОС.
Внимание! В настройках BIOS компьютера должна быть отключена функция проверки загрузочных вирусов. Если такая функция поддерживается BIOS, установите значение "Disabled" для параметра "Boot Virus Detection" (название параметра может отличаться в зависимости от модели компьютера и версии BIOS).