Thực hành mã hóa dữ liệu trên hệ điều hành windows

PHẦN 1. SỬ DỤNG BITLOCKER ĐỂ MÃ HÓA DỮ LIỆU TRÊN WINDOWS 81.1 Giới thiệu về Bitlocker1.1.1 BitLocker là gì?BitLocker là chương trình mã hóa độc quyền, dễ sử dụng của Microsoft dành cho Windows có thể mã hóa toàn bộ ổ đĩa của bạn cũng như giúp bảo vệ chống lại những thay đổi trái phép vào hệ thống, chẳng hạn như phần mềm độc hại cấp firmware.1.1.2 Ai có thể sử dụng BitLocker?BitLocker có sẵn cho bất cứ ai sở hữu máy tính chạy Windows Vista hoặc Windows 7 Ultimate, Windows 7 Enterprise, Windows 8.1 Pro hoặc Windows 8.1 Enterprise, thậm chí là Windows 10. 1.1.3 Yêu cầu về hệ thốngĐể chạy BitLocker, bạn sẽ cần có một máy tính Windows chạy một trong những hệ điều hành nêu trên, cộng với một máy tính với ít nhất 2 phân vùng và một Trusted Platform Module (TPM).TPM là một con chip đặc biệt tiến hành kiểm tra xác thực trên phần cứng, phần mềm và firmware. Nếu TPM phát hiện một sự thay đổi trái phép, máy tính sẽ khởi động trong một chế độ hạn chế để ngăn chặn những kẻ tấn công tiềm năng.Nếu bạn không biết liệu máy tính của mình có TPM hay nhiều phân vùng hay không, đừng lo lắng. BitLocker sẽ tiến hành kiểm tra hệ thống khi bạn khởi động nó để xem liệu máy tính có thể sử dụng BitLocker hay không.1.1.4 Ai nên sử dụng BitLocker?BitLocker là một chương trình mã nguồn đóng. Đó là vấn đề đối với những người có đầu óc cực kỳ riêng tư, vì người dùng không có cách nào để biết liệu Microsoft có bị ép buộc đưa một số loại backdoor vào chương trình này dưới sức ép từ chính phủ Mỹ hay không. Microsoft cho biết không hề có backdoor, nhưng làm thế nào chúng ta có thể chắc chắn được? Chúng ta không thể. Chắc chắn rằng nếu BitLocker là mã nguồn mở, hầu hết chúng ta không có khả năng đọc mã để xác định xem có backdoor hay không. Nhưng sẽ có ai đó có thể, nghĩa là sẽ có cơ hội cao hơn nhiều để phát hiện ra lỗi của chương trình.Vì vậy, với bản chất mã nguồn đóng của BitLocker trong tâm trí, chúng ta sẽkhông thể dựa vào chương trình mã hóa này để bảo vệ dữ liệu của bạn chống lại hành động của chính phủ. Nhưng nếu bạn đang tìm cách để bảo vệ dữ liệu trong trường hợp máy tính bị mất cắp hoặc các tình huống mà bọn tội phạm bình thường và các loại phi chính phủ có thể gây rối với phần cứng của bạn, BitLocker sẽ có ích

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

MODULE THỰC HÀNH

MÃ HÓA DỮ LIỆU TRÊN HỆ ĐIỀU HÀNH WINDOWS

Người thực hiện : Đồng Thị Thùy Linh

HÀ NỘI, 2015

THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH

Tên bài thực hành: Mã hóa dữ liệu trên hệ điều hành Windows

Số lượng sinh viên cùng thực hiện: 01

Địa điểm thực hành: phòng máy

Yêu cầu:

 Mỗi sinh viên được bố trí 01 máy tính với cấu hình tối thiểu: CPU 2.0 GHz, RAM 4GB, HDD 50GB

 Yêu cầu phần mềm trên máy:

 Hệ điều hành Windows

 Vmware Workstation 9.0 trở lên

 Công cụ thực hành:

 Máy ảo Vmware: Windows 8

 Thiết bị USB ( do sinh viên tự trang bị )

 Yêu cầu khác : máy chiếu, bảng viết, bút/phấn viết bảng

CHUẨN BỊ BÀI THỰC HÀNH

Đối với giảng viên:

Trước buổi học, giảng viên (người hướng dẫn thực hành) cần kiểm tra sự phù hợp của điều kiện thực tế của phòng thực hành với các yêu cầu của bài thực hành

Đối với sinh viên:

Trước khi bắt đầu bài thực hành, cần tạo các bản sao của máy ảo để sử dụng Đồng thời xác định vị trí lưu trữ các công cụ đã chỉ ra trong yêu cầu

PHẦN 1 SỬ DỤNG BITLOCKER ĐỂ MÃ HÓA DỮ LIỆU TRÊN

WINDOWS 8

1.1 Giới thiệu về Bitlocker

1.1.1 BitLocker là gì?

BitLocker là chương trình mã hóa độc quyền, dễ sử dụng của Microsoft dành cho Windows có thể mã hóa toàn bộ ổ đĩa của bạn cũng như giúp bảo vệ chống lại những thay đổi trái phép vào hệ thống, chẳng hạn như phần mềm độc hại cấp firmware

1.1.2 Ai có thể sử dụng BitLocker?

BitLocker có sẵn cho bất cứ ai sở hữu máy tính chạy Windows Vista hoặc Windows 7 Ultimate, Windows 7 Enterprise, Windows 8.1 Pro hoặc Windows 8.1 Enterprise, thậm chí là Windows 10

1.1.3 Yêu cầu về hệ thống

Để chạy BitLocker, bạn sẽ cần có một máy tính Windows chạy một trong những

hệ điều hành nêu trên, cộng với một máy tính với ít nhất 2 phân vùng và một Trusted Platform Module (TPM)

TPM là một con chip đặc biệt tiến hành kiểm tra xác thực trên phần cứng, phần mềm và firmware Nếu TPM phát hiện một sự thay đổi trái phép, máy tính sẽ khởi động trong một chế độ hạn chế để ngăn chặn những kẻ tấn công tiềm năng

Nếu bạn không biết liệu máy tính của mình có TPM hay nhiều phân vùng hay không, đừng lo lắng BitLocker sẽ tiến hành kiểm tra hệ thống khi bạn khởi động nó

để xem liệu máy tính có thể sử dụng BitLocker hay không

1.1.4 Ai nên sử dụng BitLocker?

BitLocker là một chương trình mã nguồn đóng Đó là vấn đề đối với những người có đầu óc cực kỳ riêng tư, vì người dùng không có cách nào để biết liệu

Microsoft có bị ép buộc đưa một số loại backdoor vào chương trình này dưới sức ép

từ chính phủ Mỹ hay không Microsoft cho biết không hề có backdoor, nhưng làm thế nào chúng ta có thể chắc chắn được? Chúng ta không thể Chắc chắn rằng nếu BitLocker là mã nguồn mở, hầu hết chúng ta không có khả năng đọc mã để xác định xem có backdoor hay không Nhưng sẽ có ai đó có thể, nghĩa là sẽ có cơ hội cao hơn nhiều để phát hiện ra lỗi của chương trình

Vì vậy, với bản chất mã nguồn đóng của BitLocker trong tâm trí, chúng ta sẽ không thể dựa vào chương trình mã hóa này để bảo vệ dữ liệu của bạn chống lại hành động của chính phủ Nhưng nếu bạn đang tìm cách để bảo vệ dữ liệu trong trường hợp máy tính bị mất cắp hoặc các tình huống mà bọn tội phạm bình thường

và các loại phi chính phủ có thể gây rối với phần cứng của bạn, BitLocker sẽ có ích

1.2 Thực hành

1.2.1 Chuẩn bị

- Máy ảo chạy hệ điều hành Windows 8

- Thiết bị USB

- Tạo tài khoản Microsoft và đăng nhập trên window 8

1.2.2 Các bước thực hành

Trước tiên chọn vào phân vùng (hay USB) mà chúng ta muốn khóa, sau đó chọn chuột phải chọn “Turn on BitLocker” để bật tính năng mã hóa dữ liệu cho ổ đĩa hoặc USB mà bạn đã chọn

Tiếp theo, trong cửa sổ “Bitlocker Drive Encryption” chúng ta cần lựa chọn phương thức để giải mã ổ đĩa hoặc thiết bị USB Windows có hỗ trợ 2 phương thức

đó là sử dụng mật khẩu hoặc sử dụng smart card Trong bài thực hành này chúng ta

sẽ chọn phương pháp sử dụng mật khẩu bằng cách nhấn chuột vào ô “ use a password

to unclock the drive” sau đó nhập mật khẩu vào và nhấn “Next”

Lúc này trên màn hình bạn sẽ nhận được thông báo sao lưu Recovery key để trong trường hợp nếu bạn quên hoặc mất mật khẩu thì có thể dùng key này để truy xuất được vào ổ mã hóa Bạn có thể lưu trữ mật khẩu trên tài khoản Microsoft của mình hoặc lưu trữ trên một tập tin nào đó hoặc in khóa khôi phục ra Trong bài thực hành này chúng ta sẽ chọn phương pháp lưu Recovery Key trên tài khoản Microsoft

Tiếp theo bạn sẽ chọn mức độ mã hóa Nếu chọn Used Disk space Only, quá trình mã hóa sẽ nhanh hơn và bất cứ dữ liệu nào ta thêm vào đều được mã hóa Chúng ta nên chọn Encrypt Entire Drive mặc dù sẽ mất nhiều thời gian hơn Ở tùy chọn này, kể cả dữ liệu đã xóa có khả năng khôi phục cũng được mã hóa

Bây giờ, ta bấm vào "Start Encrypt" để tiến trình mã hóa bắt đầu

Thời gian mã hóa phụ thuộc vào hệ thống của bạn, số lượng dữ liệu, kích thước

ổ đĩa

Sau khi ổ lưu trữ của bạn được mã hóa, khi bạn mở máy tính lên bạn sẽ nhìn thấy biểu tượng hình chiếc khóa

Khi thiết bị USB được cắm vào máy khác thì ngay lập tức toàn bộ thiết bị sẽ được mã hóa, bảo vệ toàn bộ dữ liệu bên trong khỏi người truy nhập trái phép

Để có thể truy cập được dữ liệu bên trong thì người dùng phải nhập đúng mật khẩu đã được thiết lập trước đó:

PHẦN 2 SỬ DỤNG EFS ĐỂ MÃ HÓA FILE VÀ THƯ MỤC TRÊN

WINDOWS 8

2.1 Giới thiệu về EFS

2.1.1 EFS là gì ?

EFS là viết tắt của Encrypting File System EFS là tính năng có sẵn trên Windows 2000/2003/2008 trên dòng server và WIndows 2000/XP/Vista trên dòng máy trạm EFS được sử dụng như một lớp bảo vệ dữ liệu bên ngoài lớp bảo vệ NTFS cho truy xuất nội bộ và NTFS + File Sharing Permission cho truy cập qua phần chia

sẻ hay NTFS + IIS Web Permission cho truy cập qua web

2.1.2 EFS kiểm soát việc truy cập dữ liệu ra sao ?

EFS về bản chất sử dụng chứng chỉ điện tử (digital certificate) do nền tảng khóa công khai PKI cung cấp để kiểm soát việc ai được truy cập vào tập tin/ thư mục được EFS bảo vệ

EFS sử dụng các thuật toán DESX/3DES/AES với số lượng bit lên đến 256 bit

để bảo vệ mã cá nhân (Private Key) Hiện có một số công cụ tự nhận là bẻ khóa được EFS nhưng bản chất ko pải là giải mã được mã khóa cá nhân mà chỉ dùng cách tấn công Brutal Force đề quét ra chuỗi khóa Private Key Tuy nhiên bạn cần một máy tính siêu mạnh để thực hiện việc bẻ khóa một tài liệu được bảo vệ ở chế độ 256 bit

2.1.3 EFS mã hóa tài liệu ra sao ?

 EFS Component Driver sẽ kiểm tra tính tương tác với NTFS

 EFS Driver tìm kiếm chữ kí Private Key của người mã hóa tài liệu trong Local Cert Store

 Nếu không tìm thấy EFS Driver sẽ đăng kí để lấy chữ kí private key cho người dùng từ CA

 Nếu EFS Driver tiếp tục không kết nối được với CA nó sẽ tự tạo ra một chứng chỉ (self-signing)

 EFS tạo ra khóa FEK và mã hóa nội dung tài liệu với thuật toán DESX/3DES/AES

 EFS tiếp tục dùng khóa công khai của người dùng đễ mã hóa tiếp khóa FEK với thuật toán RSA

 EFS sẽ lưu khóa FEK đã mã hóa trong Header DDF của tập tin mã hóa Nếu quản trị đã cấu hình DRA thì khóa của agent này cũng sẽ được lưu trong DDF

 Khi người dùng truy cập tập tin mã hóa thì pải có sẵn chứng chỉ private key thì mới xem được tập tin

 DRA phải import Private key mới có thể mở mã hóa của tài liệu được bảo vệ bởi EFS

2.1.4 EFS được sử dụng trong những tình huống an ninh nào ?

- Bảo vệ tài liệu trên máy tính cá nhân:

Máy tính cá nhân bị mất cắp và hacker ko thể bẻ khóa mật khẩu buộc pải sử dụng công cụ để reset mật khẩu tài khoản Nếu chỉ dùng NTFS thì hacker hoàn toàn

có thể truy cập dữ liệu Với EFS nó sẽ kiểm tra chữ kí điện tử và nếu password bị thay đổi nó sẽ lập tức khóa quyền truy cập

Máy tính cá nhân bị mất cắp và hacker sử dụng OS thứ 2 để truy cập dữ liệu như WinPE/Linux chạy trên CD hoặc đơn giản là xóa OS hiện tại và cài lại một OS khác Nếu chỉ dùng NTFS thì hacker hoàn toàn có thể truy cập dữ liệu Với những tài liệu được bảo vệ bằng EFS sẽ được bảo vệ triệt để

Nhiều tài khoản quản trị trên một máy tính thì việc bảo vệ hữu hiệu chỉ có thể

là EFS Mọi người đều biết NTFS ko thể ngăn chặn 1 user quản trị truy cập trái phép thông qua việc đoạt quyền Owner trên tập tin/thư mục

Note: EFS là công cụ duy nhất để bảo vệ dữ liệu khi máy bị mất cắp trên Windows 2000/2003 và Windows 2000/XP trên Windows 2008/Vista thì ta có thể

sử dụng kết hợp EFS và BitLocker để protect cả HDD của HĐH

- Tăng tính an toàn trong môi trường làm việc:

Bảo vệ tài liệu cá nhân: trong môi trường AD thì người dùng với tài khoản có thể đăng nhập local (local logon) trên máy tính bất kì trong Forest nếu ko bị GPO khóa đăng nhập trên máy đó Nên biện pháp EFS sẽ bảo vệ dữ liệu rơi vào tay những

kẻ ác ý

Bảo vệ trong môi trường làm việc nhóm: nhóm làm việc có thể sử dụng EFS

để đảm bảo tài liệu được chia sẻ trên File Server được an toàn khỏi những con mắt dòm ngó của những người dùng nguy hiểm hoặc thậm chí là của Admin

Bảo vệ tài liệu được lưu offline trên máy: tính năng Offline cho phép người dùng lưu local nội dung data trên máy chủ file EFS cũng cho phép mã hóa bảo vệ những tài liệu này

Note: EFS ko thể mã hóa và bảo vệ tài liệu được chia sẻ qua hình thức http, Sharepoint, OCS, Email

Note: Trên Windows Server 2008, EFS có thể sử dụng kết hợp với Smart Card

để tăng tính bảo an tối đa để bảo vệ và xác thực việc truy cập dữ liệu Khi đó chứng nhận Private Key của người dùng sẽ được lưu trên thẻ Smart Card

2.2 Thực hành

2.2.1 Chuẩn bị

2.2.2 Các bước thực hiện

Để mã hóa một tập tin hoặc một thư mục, đầu tiên bạn click vào biểu

tượng “File Explorer” trên thanh Taskbar hoặc trên Desktop để mở File Explorer

Hoặc cách khác là trên màn hình Start Screen, bạn nhập từ khóa Explorer vào

khung Search rồi chọn File Explorer

Tiếp theo chọn 1 file hoặc 1 thư mục mà bạn muốn mã hóa Nhấn chuột phải vào file hoặc thư mục đó rồi chọn “Properties”

Trên màn hình xuất hiện cửa sổ “Properties” Trong thẻ “General”, bạn click chọn “Advanced” ở dưới mục “Attributes”

Trên cửa sổ hộp thoại “Advanced Attributes”, bạn đánh tích vào mục “Encrypt contents to secure data” rồi click chọn OK

Click chọn tiếp “OK” để đóng cửa sổ hộp thoại Properties

Nếu bạn đang mã hóa một tập tin thì hộp thoại “Encryption Warning” xuất hiện, yêu cầu bạn lựa chọng việc mã hóa chỉ tập tin đã chọn, hoặc mã hóa cả thư mục mẹ nữa (điều này đảm bảo các tập tin sau này được tạo trong thư mục đó cũng

sẽ được mã hóa)

Nếu bạn đang mã hóa một thư mục hộp thoại “Confirm Attribute Changes” xuất hiện yêu cầu bạn chọn lựa mã hóa một thư mục hay mã hóa tất cả các thư mục con bên trong Tùy theo mục đích sử dụng để đưa ra tùy chọn thích hợp

Chọn OK để hoàn tất

Lúc này cửa sổ hộp thoại Properties sẽ đóng lại

Tập tin hoặc thư mục mà bạn mã hóa được hiển thị bằng chữ màu xanh trong File Explorer

Nếu bạn mã hóa tất cả các thư mục hoặc tập tin con bên trong, những thư mục

và tập tin này cũng sẽ có màu xanh tương tự

Ngoài ra trên khay hệ thống (Notification Area) trên thanh Taskbar, bạn sẽ nhìn thấy một cửa sổ popup hiển thị thông báo nói rằng cần sao lưu lại khóa hệ thống, đề phòng trường hợp bị mất hoặc hư hỏng

Click vào cửa sổ popup đó để tiến hành thực hiện sao lưu

Lưu ý:

Nếu không thấy cửa sổ popup thông báo xuất hiện, bạn click vào biểu tượng mũi tên trên khay hệ thống sau đó click vào biểu tượng Encrypting File System (mã hóa tập tin hệ thống )

Sau khi cửa sổ hộp thoại Encrypting File System xuất hiện, bạn click vào

chọn Back up now (sao lưu ngay bây giờ) hoặc Back up later (tiến hành sao lưu

sau)

Click chọn Next để tiếp tục tiến hành sao lưu

Chấp nhận các lựa chọn định dạng dữ liệu, sau đó chọn Next để tiếp tục

Nhập mật khẩu vào khung Password và khung Confirm Password rồi chọn Next để tiếp tục

Trên giao diện File to Export, chọn Browse

Tìm vị trí bạn muốn lưu trữ khóa mã hóa Bạn có thể sử dụng USB hoặc ổ cứng gắn ngoài để dự phòng trường hợp xấu có thể xảy ra

Sau đó chọn Save

Lúc này trên màn hình xuất hiện bảng tóm tắt tất cả các tùy chọn Bạn có thể

xem qua, sau đó chọn Finish để hoàn tất