BitLocker để mã hóa ổ lưu trữ ngoài Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưu các khóa BitLocker Recovery trong cơ sở dữ liệu Active Directory.. Nếu qu
Trang 1BitLocker để mã hóa ổ lưu trữ ngoài
Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưu các khóa BitLocker Recovery trong cơ sở dữ liệu Active Directory
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách điều chỉnh cho BitLocker được sử dụng như thế nào trong tổ chức qua các thiết lập chính sách nhóm Như những gì chúng tôi đã nói ở cuối phần trước, một trong những vấn đề lớn với việc mã hóa thiết bị lưu trữ là tiềm ẩn khả năng mất dữ liệu
Như những gì bạn biết, các thiết bị được mã hóa BitLocker sẽ được bảo vệ bằng mật khẩu Tuy nhiên vấn đề ở đây là người dùng rất có thể quên mật khẩu và trở thành chính nạn nhân của việc mã hóa, họ không thể lấy được dữ liệu trong thiết bị
mà mình đã thực hiện mã hóa Nếu bạn dừng lại và nghĩ về nó, thì việc dữ liệu mã hóa mà không thể giải mã sẽ chẳng khác gì việc dữ liệu bị lỗi
Nếu quay trở lại phần đầu tiên của loạt bài này, bạn sẽ thấy khi mã hóa một ổ đĩa bằng BitLocker, Windows sẽ hiển thị một thông báo, giống như được hiển thị ở hình A bên dưới, thông báo này cho bạn biết rằng khi quên mật khẩu, người dùng
có thể sử dụng khóa khôi phục để truy cập vào ổ đĩa Windows không chỉ tự động cung cấp cho bạn khóa khôi phục này mà nó còn bắt buộc bạn phải in khóa khôi phục ra giấy hoặc lưu nó vào một file nào đó
Trang 2Hình A: BitLocker bảo vệ người dùng tránh hiện tượng mất dữ liệu bằng cách cung
cấp cho họ khóa khôi phục
Việc đưa ra khóa khôi phục để tránh mất dữ liệu là một ý tưởng tốt, tuy nhiên trong thế giới thực nó lại không mang tính thực tế Mất khóa mã hóa có thể gây ra một hậu quả nghiêm trọng trong môi trường công ty, nơi dữ liệu là không thể thay thế Tuy nhiên vẫn cần nói lời cảm ơn rằng bạn đã không phải phụ thuộc vào người dùng để theo dõi các khóa khôi phục của họ mà có thể lưu các khóa khôi phục trong Active Directory
Chuẩn bị Active Directory
Trang 3Trước khi đi cấu hình BitLocker để lưu các khóa khôi phục trong Active Directory, chúng ta cần thực hiện một số công việc chuẩn bị Chúng tôi bảo đảm chắc chắn bạn đã biết điều này, BitLocker to Go được giới thiệu lần đầu tiên trong Windows
7 và Windows Server 2008 R2 Nó được bổ sung với lý do hỗ trợ khôi phục khóa BitLocker to Go ở mức Active Directory, sau đó bạn sẽ cần chạy một số mã
Windows Server 2008 R2 trên các domain controller của mình
Tin hay không thì tùy, bạn không phải nâng cấp tất cả các domain controller lên Windows Server 2008 R2, trừ khi muốn Thay vào đó, có thể sử dụng DVD cài đặt Windows Server 2008 R2 để mở rộng giản đồ Active Directory trên domain
controller đang hoạt động như schema master cho Active Directory forest của mình
Trước khi giới thiệu cho các bạn cách mở rộng giản đồ Active Directory, chúng tôi cần phải cảnh báo các bạn rằng thủ tục này thừa nhận rằng tất cả các domain
controller đang chạy Windows 2000 Server SP4 hoặc phiên bản cao hơn Nếu chỉ
có các domain controller cũ thì bạn cần phải nâng cấp chúng lên để có thể thực hiện các mở rộng giản đồ cần thiết
Bạn cũng nên thực hiện backup trạng thái toàn bộ hệ thống của các domain
controller trước khi mở rộng giản đồ Active Directory Cách thức này là để đề
Trang 4phòng nếu có vấn đề gì đó xảy ra không theo ý muốn trong quá trình mở rộng, bạn vẫn có thể khôi phục lại trạng thái trước đó của mình
Với các công tác chuẩn bị đó, bạn có thể mở rộng giản đồ Active Directory bằng cách chèn DVD cài đặt Windows Server 2008 R2 của bạn vào schema master Sau
đó, mở cửa sổ nhắc lệnh Command Prompt bằng cách sử dụng tùy chọn Run As Administrator và nhập vào lệnh dưới đây (ở đây D: là ổ đĩa có chứa đĩa cài đặt):
D:
CD\
CD SUPPORT\ADPREP
ADPREP /FORESTPREP
Khi tiện ích ADPrep load, bạn sẽ được yêu cầu xác nhận các domain controller
đang chạy các phiên bản Windows Server thích hợp Đơn giản hãy nhất phím C và sau đó nhấn Enter để bắt đầu quá trình mở rộng giản đồ, như thể hiện trong hình
B Toàn bộ quá trình mở rộng giản đồ sẽ chỉ mất một vài phút để hoàn tất
Trang 5Hình B: Giản đồ Active Directory phải được mở rộng trước khi các khóa
BitLocker được lưu trong Active Directory
Cấu hình chính sách nhóm (Group Policy)
Việc chỉ mở rộng một cách đơn giản giản đồ Active Directory không bắt buộc BitLocker lưu các khóa khôi phục trong Active Directory Do đó để có được điều mong muốn chúng ta cần phải cấu hình một vài thiết lập chính sách nhóm
Trang 6Bắt đầu quá trình bằng cách load chính sách nhóm được sử dụng cho các máy trạm của bạn trong Group Policy Management Editor Điều hướng thông qua cây giao
diện để đến Computer Configuration | Policies | Administrative Templates: Policy Definitions | Windows Components | BitLocker Drive Encryption | Removable Data Drives Như những gì bạn có thể nhớ lại, chúng tôi đã giới thiệu
hầu hết các thiết lập chính sách riêng rẽ trong phần trước của loạt bài này
Đến đây, bạn cần kích hoạt thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker, xem thể hiện trong hình C Quả thực, đây không
phải là một yêu cầu bắt buộc, tuy nhiên nó sẽ cho mang đến cho bạn cách bắt buộc người dùng phải mã hóa các ổ USB của họ Nếu bắt buộc người dùng sử dụng mã
hóa BitLocker thì bạn cũng nên chọn tùy chọn Do Not Allow Write Access to Devices Configured in Another Organization Lần nữa, đây cũng không phải tùy
chọn bắt buộc nhưng nó sẽ giúp bạn cải thiện được độ bảo mật
Trang 7Hình C: Nếu muốn thực thi mã hóa backup cho các ổ ngoài, bạn cần phải kích hoạt thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker
Bước tiếp theo trong quá trình là kích hoạt thiết lập Choose How BitLocker
Removable Drives Can Be Recovered Nếu quan sát trong hình D, bạn sẽ thấy hộp thoại được hiển thị khi kích đúp vào thiết lập Deny Write Access to
Removable Drives Not Protected by BitLocker Như những gì bạn thấy trong
hình, có một loạt các hộp kiểm mà bạn có thể được chọn khi thiết lập chính sách nhóm này được kích hoạt
Trang 8Hình D: Có ba tùy chọn bạn nên kích hoạt
Trang 9Nếu mục tiêu là lưu một copy mỗi khóa khôi phục trong Active Directory thì quả
thực có ba tùy chọn mà bạn cần phải kích hoạt Đầu tiên là tùy chọn Allow Data
Recovery Agent Tùy chọn này sẽ được chọn mặc định, tuy nhiên đây là một tùy
chọn quan trọng cho sự thành công của toàn bộ quá trình khôi phục khóa nên bạn cần phải thẩm định rằng nó đã được kích hoạt
Tiếp đến, bạn cần phải chọn Save BitLocker Recovery Information to AD DS for
Removable Data Drives Như những gì bạn có thể đoán, đây là tùy chọn sẽ lưu các
khóa khôi phục BitLocker vào Active Directory
Cuối cùng, bạn cần chọn tùy chọn Do Not Enable BitLocker Until Recovery
Information Is Stored To AD DS For Removable Data Drives Tùy chọn này sẽ
bắt buộc Windows xác nhận rằng sự khôi phục đã được ghi vào Active Directory trước khi BitLocker được phép mã hóa ổ ngoài
Mặc dù không bắt buộc nhưng một số quản trị viên cũng có thể kích hoạt tùy chọn
Omit Recovery Option From The BitLocker Setup Wizard Điều này sẽ ngăn
chặn không cho người dùng lưu hoặc in các bản copy khóa khôi phục của họ
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn cách cấu hình Active
Directory để lưu các khóa khôi phục BitLocker cho các ổ ngoài Trong phần 4 của
Trang 10loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách làm việc của quá trình này như thế nào
