Sử dụng BitLocker để mã hóa ổ Trong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật BitLocker theo một cách thống nhất hơn qua sử dụng các thiết lập chính sách nhóm. Các thiết lập mặc định trong Windows 7 cho phép người dùng có thể quyết định có nên mã hóa và khi nào mã hóa dữ liệu trên các ổ lưu trữ ngoài. Trong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật BitLocker theo một cách thống...
Trang 1Sử dụng BitLocker để mã hóa ổ
Trong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật BitLocker theo một cách thống nhất hơn qua sử dụng các thiết lập chính sách nhóm
Các thiết lập mặc định trong Windows 7 cho phép người dùng có thể quyết định có nên mã hóa và khi nào mã hóa dữ liệu trên các ổ lưu trữ ngoài Trong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật BitLocker theo một cách thống nhất hơn qua sử dụng các thiết lập chính sách nhóm
Trong phần một, chúng tôi đã giới thiệu cho các bạn cách sử dụng BitLocker một cách thủ công để mã hóa nội dung của ổ USB Mặc dù thủ tục mà chúng tôi đã giới thiệu cho các bạn trong phần trước làm việc khá tốt, nhưng vẫn còn đó rất nhiều lựa chọn khác Hãy hình dung trong trường hợp công ty của bạn có rất nhiều thông tin nhạy cảm trên các file dữ liệu Lý tưởng mà nói, bạn chắc chắn sẽ muốn bảo vệ tất cả dữ liệu đó một cách an toàn Tuy nhiên trong thực tế, có nhiều nhân viên trong công ty bạn mà ở đó công việc của họ
Trang 2yêu cầu phải truy cập vào một số dữ liệu nhất định, thậm chí khi họ không thể kết nối với mạng công ty
Một thứ nữa cần mang ra giả định cho tình huống ở đây là nhân viên của bạn
có thể để quên USB của họ ở một nơi nào đó và bên trong USB đó chứa rất nhiều dữ liệu khách hàng, khi đó sự mã hóa là bắt buộc phải có BitLocker to
Go có thể cung cấp kiểu mã hóa bạn cần thiết lúc này, tuy nhiên phương pháp
mã hóa mà chúng tôi đã giới thiệu cho bạn trong phần 1 của loạt bài lại yêu cầu người dùng tự mã hóa các ổ lưu trữ USB của họ
Rõ ràng chúng ta không thể đặt công việc mã hóa này vào tay người dùng và tin tưởng họ sẽ thực hiện tốt việc này Để có tính khả thi hơn, chúng ta cần phải đi tìm một phương pháp khác Windows 7 và Windows Server 2008 R2
có các thiết lập chính sách nhóm mà chúng ta có thể sử dụng để kiểm soát cách và thời điểm sử dụng mã hóa BitLocker
Group Policy Object Editor có chứa khá nhiều thiết lập Group Policy có liên quan đến mã hóa BitLocker, tuy nhiên có một thư mục có chứa thiết lập mã hóa BitLocker cho các thiết bị lưu trữ ngoài Bạn có thể truy cập vào thư mục
này tại Computer Configuration \ Administrative Templates \ Windows
Trang 3Components \ BitLocker Drive Encryption \ Removable Data Drives Có
thể thấy các thiết lập chính sách nhóm bên trong thư mục này trong hình A
Hình A: Tất cả các thiết lập liên quan đến mã hóa thiết bị lưu trữ ngoài đều
được lưu trong thư mục Removable Data Drives
Kiểm soát sử dụng BitLocker trên các ổ lưu trữ ngoài
Thiết lập Group Policy đầu tiên mà chúng tôi muốn giới thiệu là thiết lập
“Control Use of BitLocker on Removable Drives” Như tên ngụ ý của nó,
Trang 4thiết lập này cho phép bạn kiểm soát người dùng có được phép mã hóa thiết
bị lưu trữ ngoài bằng BitLocker hay không
Đơn giản nhất, vô hiệu hóa thiết lập này sẽ ngăn chặn được người dùng mã hóa thiết bị lưu trữ ngoài, trong khi đó họ sẽ có thể sử dụng BitLocker để mã hóa chúng nếu bạn không thực hiện gì cả
Nếu chọn vô hiệu hóa thiết lập chính sách nhóm, có hai tùy chọn khác để có thể thiết lập Tùy chọn đầu tiên trong số hai tùy chọn này là cho phép người dùng sử dụng sự bảo vệ của BitLocker trên các thiết bị lưu trữ ngoài hay không Rõ ràng tùy chọn này có đôi chút rườm rà nhưng lý do tại sao
Microsoft đưa ra như vậy là vì nó cho phép bạn kiểm soát thiết lập này và thiết lập kế tiếp mà chúng tôi sẽ giới thiệu khi thiết lập chính sách nhóm được kích hoạt
Thiết lập thứ hai cho phép người dùng hoãn và giải mã bảo vệ BitLocker trên các thiết bị lưu trữ ngoài Nói theo cách khác, bạn có thể kiểm soát việc cho phép người dùng tắt BitLocker cho thiết bị lưu trữ ngoài
Cấu hình sử dụng thẻ thông minh trên các ổ đĩa lưu trữ ngoài
Trang 5Thiết lập chính sách nhóm này cho phép bạn có thể kiểm soát việc sử dụng thẻ thông minh như một cơ chế cho việc thẩm định người dùng trong việc truy cập vào nội dung được mã hóa bởi BitLocker Nếu quyết định kích hoạt thiết lập Group Policy này, sẽ có một tùy chọn con mà bạn có thể sử dụng để yêu cầu việc sử dụng thẻ thông minh Nếu chọn tùy chọn này, người dùng sẽ chỉ có thể truy cập các nội dung được mã hóa bởi BitLocker bằng cách sử dụng quá trình thẩm định bằng thẻ thông minh
Từ chối truy cập “Write” lên các ổ lưu trữ ngoài không được bảo vệ bởi
BitLocker
Thiết lập “Deny Write Access to Removable Drives Not Protected By BitLocker” là một trong những thiết lập Group Policy quan trọng có liên
quan tới việc mã hóa thiết bị lưu trữ ngoài Khi kích hoạt thiết lập này,
Windows sẽ kiểm tra các thiết bị lưu trữ ngoài được kết nối với máy tính để xem mã hóa BitLocker đã được kích hoạt hay chưa Nếu BitLocker chưa
được kích hoạt trên thiết bị, khi đó nó sẽ được xử lý ở trạng thái “read only” Người dùng chỉ được nhận mức truy cập “write” nếu BitLocker được kích
hoạt trên thiết bị Bằng cách này, bạn có thể ngăn chặn người dùng ghi dữ liệu và các thiết bị lưu trữ ngoài không được mã hóa
Trang 6Khi kích hoạt thiết lập chính sách nhóm này, bạn cũng được trao tùy chọn
khóa truy cập mức “write” cho thiết bị đã được cấu hình trong tổ chức khác
Tùy chọn này cũng có thể giúp bạn ngăn chặn được việc sử dụng các thiết bị lưu trữ ngoài không thẩm định
Hình dung trường hợp bạn muốn bảo đảm rằng chỉ có người dùng xác thực (đã được thẩm định) mới có thể ghi dữ liệu vào các thiết bị lưu trữ ngoài, và bất cứ dữ liệu nào được ghi vào các thiết bị đó đều được mã hóa Lúc này giả định rằng một nhân viên nào đó trong công ty bạn muốn copy danh sách khách hàng của bạn vào USB Nếu một trong những mục tiêu đã được tuyên
bố của bạn là ngăn chặn ghi dữ liệu vào các thiết bị lưu trữ ngoài dưới định dạng không được mã hóa thì bạn lúc này bạn cũng đã kích hoạt thiết lập
“Deny Write Access to Removable Drives Not Protected By BitLocker”
Điều đó sẽ cho phép bạn có một số mức bảo vệ, nhưng nó cũng có thể cho phép người dùng kích hoạt BitLocker trên máy tính ở nhà của họ, mã hóa USB, sau đó mang ổ đĩa được mã hóa đó đến văn phòng và ghi dữ liệu lên
Kích hoạt tùy chọn “Do Not Allow Write Access to Devices Configured in Another Organization” sẽ cho phép Windows tìm ra thiết bị lưu trữ ngoài
Trang 7đến từ đâu Nếu thiết bị được mã hóa bởi một tổ chức khác, BitLocker sẽ từ
chối mức truy cập “write” đối với chúng
Cho phép truy cập đến các thiết bị lưu trữ ngoài được bảo vệ bởi
BitLocker từ các phiên bản Windows trước đó
Một số người nhận định rằng tùy chọn này được đặt tên chưa thật thỏa đáng
Sự thật là Windows không thực sự quan tâm đến phiên bản Windows nào được sử dụng để định dạng một thiết bị lưu trữ ngoài Mà thay vào đó, tùy chọn này cho phép bạn kiểm soát việc có cho phép người dùng mở khóa các thiết bị lưu trữ mã hóa BitLocker đã được định dạng với hệ thống file FAT
Nếu kích hoạt thiết lập này, sẽ có một tùy chọn khác mà bạn có thể kích hoạt nhằm ngăn chặn việc BitLocker to Go Reader cài đặt vào các ổ lưu trữ đã được định dạng hệ thống file FAT
Cấu hình sử dụng mật khẩu cho thiết bị lưu trữ ngoài
Đây là một trong những thiết lập dễ hiểu nhất Nó cho phép bạn có thể kiểm soát việc có cần yêu cầu sử dụng mật khẩu để mở khóa nội dung bên trong của các thiết bị lưu trữ ngoài hay không Giả định rằng muốn bảo vệ mật
Trang 8khẩu cho các thiết bị lưu trữ ngoài này, khi đó bạn sẽ có thêm tùy chọn cho việc kiểm soát độ dài và các yêu cầu về tính mức tạp của mật khẩu
Kết luận
Các thiết lập chính sách nhóm mà chúng tôi giới thiệu cho các bạn trong bài đều nhằm mục đích điều khiển cách BitLocker sẽ được sử dụng như thế nào với các thiết bị lưu trữ ngoài Mặc dù vật một trong những vấn đề phát sinh với việc mã hóa dữ liệu là nếu các khóa mã hóa bị mất, khi đó dữ liệu của bạn sẽ không thể giải mã Chính vì vậy trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một kỹ thuật có thể tránh được vấn đề này bằng cách lưu các khóa mã hóa trong Active Directory