BitLocker để mã hóa ổ lưu trữ ngoài Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng BitLocker-to-go để tránh tình trạng phơi bày dữ liệu quan trọng bằng cách mã hóa ổ lưu trữ ngoài. Các nhân viên làm việc bên ngoài tổ chức luôn gặp phải những thách thức, khó khăn về vấn đề bảo mật. Họ cần phải truy cập dữ liệu công ty trên laptop hoặc các thiết bị di động của mình. Như vậy dữ liệu nằm trên các thiết bị đó luôn trong tình trạng rủi ro cao khi chúng...
Trang 1BitLocker để mã hóa ổ lưu trữ ngoài
Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng
BitLocker-to-go để tránh tình trạng phơi bày dữ liệu quan trọng bằng cách mã hóa ổ lưu trữ ngoài
Các nhân viên làm việc bên ngoài tổ chức luôn gặp phải những thách thức, khó khăn về vấn đề bảo mật Họ cần phải truy cập dữ liệu công ty trên laptop hoặc các thiết bị di động của mình Như vậy dữ liệu nằm trên các thiết bị đó luôn trong tình trạng rủi ro cao khi chúng bị mất hoặc bị đánh cắp
Nhiều tổ chức không cho nhân viên của mình lưu dữ liệu trên các máy laptop hoặc thiết bị di động là vì lý do này Mặc dù vậy phương pháp này đôi khi tỏ
ra không thực tế chút nào Việc cấm người dùng lưu dữ liệu trên laptop hoặc thiết bị di động của họ chẳng khác nào bắt họ phải kết nối với Internet bất cứ khi nào cần truy cập dữ liệu, và một điều mà chắc chắn rằng ai cũng biết, việc truy cập Internet thì đâu phải chỗ nào cũng có thể thực hiện thành công Ví
dụ, một số người có thể cần đến dữ liệu để thực hiện công việc khi họ đang ở trên một chuyến bay dài Nếu không thể truy cập vào dữ liệu khi không có
Trang 2kết nối Internet thì đồng nghĩa với đó là năng xuất công việc của họ chắc chắn sẽ giảm đi
Qua nhiều năm, Microsoft đã tạo một vài giải pháp khác nhau, đây là các giải pháp được thiết kế để bảo mật dữ liệu khi lưu trên các laptop Trong
Windows Vista là một ví dụ, Microsoft đã giới thiệu tính năng mã hóa ổ đĩa BitLocker Tính năng này cho phép người dùng có thể mã hóa toàn bộ ổ đĩa trên laptop của họ
Tuy có nhiều cải tiến về mức độ bảo mật hơn rất nhiều so với phiên bản hệ điều hành trước đó, Windows XP, nhưng BitLocker vẫn có rất nhiều hạn chế
Ví dụ như phiên bản Windows Vista của BitLocker chỉ có thể mã hóa phân vùng hệ thống Nếu máy tính có chứa nhiều phân vùng khác, thì người dùng cần phải sử dụng đến sản phẩm mã hóa EFS hoặc của hãng thứ ba để bảo mật cho các phân vùng này
Một hạn chế khác của BitLocker là không có khả năng mã hóa ổ lưu trữ
ngoài Chúng ta biết rằng, các ổ lưu trữ ngoài, nhất là các USB ngày nay có mặt ở khắp mọi nơi Ngoài ra, dung lượng của các ổ lưu trữ kiểu này cũng tăng đáng kể trong những năm gần đây Tất cả điều đó nói nên rằng, người
Trang 3dùng có thể lưu vô số dữ liệu trên một thiết bị nhỏ tí xíu, rẻ tiền, dung lượng lớn và dễ bị mất này mà không hề được mã hóa bảo mật
Chính vì lẽ đó nên khi Microsoft phát triển Windows 7, một trong những thứ
mà họ đặt ra cần thực hiện là cải tiến một số vấn đề còn thiếu sót của
BitLocker Một số cải thiện này là:
BitLocker hiện có khả năng mã hóa tất cả các phân vùng của hệ thống, không chỉ mỗi phân vùng chứa hệ điều hành
Hệ thống có thể thực hiện hành động kiểm tra tính toàn vẹn với tư cách một phần của quá trình khởi động Cách thức này giúp thẩm định rằng máy tính không bị can thiệp khi offline và ổ đĩa được mã hóa nằm trong máy tính nguyên bản của nó
Nó có thể chuyển một ổ đĩa được mã hóa sang máy tính khác, hoặc
thay thế system board trong một hệ thống đã được BitLocker mã hóa
mà không mất sự truy cập vào các file mã hóa
Windows bảo đảm chống lại được các tấn công cold boot bằng cách
yêu cầu người dùng nhập vào mã PIN hoặc chèn vào ổ USB gồm có khóa bảo mật vào trước để khởi động máy tính
Trang 4 Các khóa khôi phục BitLocker được lưu trong Active Directory Các khóa này có thể được sử dụng để tăng sự truy cập dữ liệu mã hóa
BitLocker trong trường hợp người dùng quên mã PIN của họ, hoặc mất
ổ USB có chứa thông tin về khóa
BitLocker to Go
Có lẽ tính năng BitLocker mới đáng kể nhất phải nói đến chính là BitLocker
to Go BitLocker to Go cho phép người dùng có thể mã hóa các thiết bị lưu trữ ngoài, chẳng hạn như các ổ USB flash Do đó, nếu thiết bị lưu trữ có bị mất hoặc bị đánh cắp thì dữ liệu có trong nó cũng không bị thỏa hiệp
Như mong đợi, mã hóa BitLocker không được kích hoạt mặc định cho các ổ USB flash Mặc dù vậy nó có thể được kích hoạt bởi quản trị viên (thông qua các thiết lập Group Policy) hoặc bởi người dùng
Những gì tuyệt vời ở đây là Microsoft đã làm cho tính năng trở nên cực kỳ dễ
sử dụng khi muốn kích hoạt mã hóa BitLocker Tính năng BitLocker được tích hợp trực tiếp vào Windows Explorer Điều này có nghĩa nếu một người dùng nào đó muốn kích hoạt mã hóa BitLocker cho thiết bị USB, họ không cần phải truy cập vào Control Panel và tìm kiếm đúng thiết lập cần tìm
Trang 5Để minh chứng cho những gì chúng tôi muốn nói, các bạn hãy quan sát vào hình A bên dưới Trong hình này, chúng tôi đã cắm một USB vào máy tính đang sử dụng hệ điều hành Windows 7 Khi kích phải vào USB, Windows sẽ hiển thị một tùy chọn cho phép bật BitLocker
Hình A: Windows Explorer có tùy chọn để bật BitLocker
Nếu chọn tùy chọn Turn on BitLocker, BitLocker sẽ chỉ được kích hoạt cho ổ
đĩa được chọn, không cho toàn bộ hệ thống Khi kích hoạt BitLocker,
Windows sẽ nhắc nhở bạn nhập vào mật khẩu để mở khóa ổ lưu trữ Như
Trang 6những gì có thể thấy trong hình B, bạn cũng có tùy chọn cho việc sử dụng thẻ thông minh để mở khóa thiết bị lưu trữ
Hình B: Bạn phải cung cấp mật khẩu hoặc thẻ thông minh được sử dụng để
mở khóa ổ lưu trữ
Sau khi nhập vào mật khẩu, Windows sẽ tạo cho bạn một khóa khôi phục, nhắc bạn lưu khóa khôi phục này vào một file nào đó hoặc in chúng, như thể
hiện trong hình C Bạn sẽ thấy trong hình bên dưới, nút Next sẽ có màu xám
cho tới khi bạn thực hiện tối thiểu một trong các lựa chọn này Microsoft đòi
Trang 7hỏi khóa khôi phục được lưu hoặc được in để tránh trường hợp mất dữ liệu
do người dùng quên mật khẩu
Hình C: Bạn phải lưu và in khóa khôi phục của mình
Sau khi lưu hoặc in khóa khôi phục của mình, đây là lúc đi mã hóa ổ lưu trữ
Để thực hiện điều đó, bạn chỉ cần kích nút Start Encrypting, xem thể hiện
trong hình D bên dưới
Trang 8Hình D: Kích nút Start Encrypting để mã hóa ổ đĩa
Sử dụng USB được mã hóa
Việc sử dụng ổ USB mã hóa thực sự không khác nhiều so với sử dụng các USB thông thường Nếu quan sát trong hình E, bạn sẽ thấy khi chúng tôi sử dụng ổ USB, có một nhắc nhở xuất hiện yêu cầu nhập vào mật khẩu Bạn cũng sẽ thấy biểu tượng của ổ lưu trữ có cái móc khóa
Trang 9Hình E: Khi chèn vào một USB được mã hóa, bạn cần nhập vào mật khẩu
Sau khi nhập vào mật khẩu, biểu tượng sẽ thay đổi và hiển thị rằng ổ lưu trữ
đã mở khóa, xem thể hiện trong hình F
Trang 10Hình F: Sau khi nhập vào mật khẩu, thiết bị được mở khóa
Các hệ điều hành khác
Do BitLocker to Go được giới thiệu đầu tiên trong Windows 7, do dó bạn có thể phân vân điều gì sẽ xảy ra nếu bạn cắm USB được mã hóa đó vào máy tính đang sử dụng các hệ điều hành phiên bản cũ hơn Hình G thể hiện những
gì xảy ra khi chèn một USB đã được mã hóa vào máy tính đang chạy
Windows Vista
Trang 11Hình G: Vista cho phép bạn cài đặt BitLocker to Go Reader
Mặc dù Vista không hỗ trợ nguyên bản cho BitLocker to Go, nhưng bạn có một tùy chọn cho việc cài đặt bộ đọc BitLocker to Go Reader Bộ đọc này được lưu trên ổ được mã hóa (dưới định dạng không mã hóa), vì vậy hoàn toàn có thể cài đặt bộ đọc này thậm chí khi bạn không có truy cập Internet
Do hộp thoại cũng gồm có tùy chọn mở thư mục để xem các file, nên chúng tôi quyết định kích vào tùy chọn này để xem Vista sẽ hiển thị những gì Như những gì thấy trong hình H, Vista hiển thị các file hệ thống của BitLocker Reader Tất cả dữ liệu thực được lưu trên ổ mã hóa được chứa bên trong một loạt các file mã hóa NG
Trang 12Hình H: BitLocker to Go Reader được lưu trên USB
Kết luận
Trong phần một này, chúng tôi đã giới thiệu được cho các bạn cách sử dụng BitLocker to Go để mã hóa ổ USB Trong phần hai của loạt bài, chúng tôi sẽ giới thiệu cho cá bạn cách sử dụng các chính sách nhóm để tự động hóa quá trình