BitLocker để mã hóa ổ lưu trữ ngoài
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (308.02 KB, 10 trang )
BitLocker để mã hóa ổ lưu trữ ngồi
Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưu
các khóa BitLocker Recovery trong cơ sở dữ liệu Active Directory.
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách điều
chỉnh cho BitLocker được sử dụng như thế nào trong tổ chức qua các thiết lập
chính sách nhóm. Như những gì chúng tơi đã nói ở cuối phần trước, một trong
những vấn đề lớn với việc mã hóa thiết bị lưu trữ là tiềm ẩn khả năng mất dữ liệu.
Như những gì bạn biết, các thiết bị được mã hóa BitLocker sẽ được bảo vệ bằng
mật khẩu. Tuy nhiên vấn đề ở đây là người dùng rất có thể quên mật khẩu và trở
thành chính nạn nhân của việc mã hóa, họ khơng thể lấy được dữ liệu trong thiết bị
mà mình đã thực hiện mã hóa. Nếu bạn dừng lại và nghĩ về nó, thì việc dữ liệu mã
hóa mà khơng thể giải mã sẽ chẳng khác gì việc dữ liệu bị lỗi.
Nếu quay trở lại phần đầu tiên của loạt bài này, bạn sẽ thấy khi mã hóa một ổ đĩa
bằng BitLocker, Windows sẽ hiển thị một thông báo, giống như được hiển thị ở
hình A bên dưới, thông báo này cho bạn biết rằng khi quên mật khẩu, người dùng
có thể sử dụng khóa khơi phục để truy cập vào ổ đĩa. Windows không chỉ tự động
cung cấp cho bạn khóa khơi phục này mà nó cịn bắt buộc bạn phải in khóa khơi
phục ra giấy hoặc lưu nó vào một file nào đó.
Hình A: BitLocker bảo vệ người dùng tránh hiện tượng mất dữ liệu bằng cách cung
cấp cho họ khóa khơi phục
Việc đưa ra khóa khơi phục để tránh mất dữ liệu là một ý tưởng tốt, tuy nhiên trong
thế giới thực nó lại khơng mang tính thực tế. Mất khóa mã hóa có thể gây ra một
hậu quả nghiêm trọng trong môi trường công ty, nơi dữ liệu là không thể thay thế.
Tuy nhiên vẫn cần nói lời cảm ơn rằng bạn đã không phải phụ thuộc vào người
dùng để theo dõi các khóa khơi phục của họ mà có thể lưu các khóa khơi phục
trong Active Directory.
Chuẩn bị Active Directory
Trước khi đi cấu hình BitLocker để lưu các khóa khôi phục trong Active Directory,
chúng ta cần thực hiện một số công việc chuẩn bị. Chúng tôi bảo đảm chắc chắn
bạn đã biết điều này, BitLocker to Go được giới thiệu lần đầu tiên trong Windows
7 và Windows Server 2008 R2. Nó được bổ sung với lý do hỗ trợ khơi phục khóa
BitLocker to Go ở mức Active Directory, sau đó bạn sẽ cần chạy một số mã
Windows Server 2008 R2 trên các domain controller của mình.
Tin hay khơng thì tùy, bạn không phải nâng cấp tất cả các domain controller lên
Windows Server 2008 R2, trừ khi muốn. Thay vào đó, có thể sử dụng DVD cài đặt
Windows Server 2008 R2 để mở rộng giản đồ Active Directory trên domain
controller đang hoạt động như schema master cho Active Directory forest của
mình.
Trước khi giới thiệu cho các bạn cách mở rộng giản đồ Active Directory, chúng tôi
cần phải cảnh báo các bạn rằng thủ tục này thừa nhận rằng tất cả các domain
controller đang chạy Windows 2000 Server SP4 hoặc phiên bản cao hơn. Nếu chỉ
có các domain controller cũ thì bạn cần phải nâng cấp chúng lên để có thể thực
hiện các mở rộng giản đồ cần thiết.
Bạn cũng nên thực hiện backup trạng thái toàn bộ hệ thống của các domain
controller trước khi mở rộng giản đồ Active Directory. Cách thức này là để đề
phịng nếu có vấn đề gì đó xảy ra khơng theo ý muốn trong q trình mở rộng, bạn
vẫn có thể khơi phục lại trạng thái trước đó của mình.
Với các cơng tác chuẩn bị đó, bạn có thể mở rộng giản đồ Active Directory bằng
cách chèn DVD cài đặt Windows Server 2008 R2 của bạn vào schema master. Sau
đó, mở cửa sổ nhắc lệnh Command Prompt bằng cách sử dụng tùy chọn Run As
Administrator và nhập vào lệnh dưới đây (ở đây D: là ổ đĩa có chứa đĩa cài đặt):
D:
CD\
CD SUPPORT\ADPREP
ADPREP /FORESTPREP
Khi tiện ích ADPrep load, bạn sẽ được yêu cầu xác nhận các domain controller
đang chạy các phiên bản Windows Server thích hợp. Đơn giản hãy nhất phím C và
sau đó nhấn Enter để bắt đầu q trình mở rộng giản đồ, như thể hiện trong hình
B. Tồn bộ q trình mở rộng giản đồ sẽ chỉ mất một vài phút để hoàn tất.
Hình B: Giản đồ Active Directory phải được mở rộng trước khi các khóa
BitLocker được lưu trong Active Directory
Cấu hình chính sách nhóm (Group Policy)
Việc chỉ mở rộng một cách đơn giản giản đồ Active Directory không bắt buộc
BitLocker lưu các khóa khơi phục trong Active Directory. Do đó để có được điều
mong muốn chúng ta cần phải cấu hình một vài thiết lập chính sách nhóm.
Bắt đầu q trình bằng cách load chính sách nhóm được sử dụng cho các máy trạm
của bạn trong Group Policy Management Editor. Điều hướng thông qua cây giao
diện để đến Computer Configuration | Policies | Administrative Templates:
Policy Definitions | Windows Components | BitLocker Drive Encryption |
Removable Data Drives. Như những gì bạn có thể nhớ lại, chúng tơi đã giới thiệu
hầu hết các thiết lập chính sách riêng rẽ trong phần trước của loạt bài này.
Đến đây, bạn cần kích hoạt thiết lập Deny Write Access to Removable Drives
Not Protected by BitLocker, xem thể hiện trong hình C. Quả thực, đây không
phải là một yêu cầu bắt buộc, tuy nhiên nó sẽ cho mang đến cho bạn cách bắt buộc
người dùng phải mã hóa các ổ USB của họ. Nếu bắt buộc người dùng sử dụng mã
hóa BitLocker thì bạn cũng nên chọn tùy chọn Do Not Allow Write Access to
Devices Configured in Another Organization. Lần nữa, đây cũng khơng phải tùy
chọn bắt buộc nhưng nó sẽ giúp bạn cải thiện được độ bảo mật.
Hình C: Nếu muốn thực thi mã hóa backup cho các ổ ngồi, bạn cần phải kích hoạt
thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker.
Bước tiếp theo trong q trình là kích hoạt thiết lập Choose How BitLocker
Removable Drives Can Be Recovered. Nếu quan sát trong hình D, bạn sẽ thấy
hộp thoại được hiển thị khi kích đúp vào thiết lập Deny Write Access to
Removable Drives Not Protected by BitLocker. Như những gì bạn thấy trong
hình, có một loạt các hộp kiểm mà bạn có thể được chọn khi thiết lập chính sách
nhóm này được kích hoạt.
Hình D: Có ba tùy chọn bạn nên kích hoạt
Nếu mục tiêu là lưu một copy mỗi khóa khơi phục trong Active Directory thì quả
thực có ba tùy chọn mà bạn cần phải kích hoạt. Đầu tiên là tùy chọn Allow Data
Recovery Agent. Tùy chọn này sẽ được chọn mặc định, tuy nhiên đây là một tùy
chọn quan trọng cho sự thành cơng của tồn bộ q trình khơi phục khóa nên bạn
cần phải thẩm định rằng nó đã được kích hoạt.
Tiếp đến, bạn cần phải chọn Save BitLocker Recovery Information to AD DS for
Removable Data Drives. Như những gì bạn có thể đốn, đây là tùy chọn sẽ lưu các
khóa khơi phục BitLocker vào Active Directory.
Cuối cùng, bạn cần chọn tùy chọn Do Not Enable BitLocker Until Recovery
Information Is Stored To AD DS For Removable Data Drives. Tùy chọn này sẽ
bắt buộc Windows xác nhận rằng sự khôi phục đã được ghi vào Active Directory
trước khi BitLocker được phép mã hóa ổ ngồi.
Mặc dù khơng bắt buộc nhưng một số quản trị viên cũng có thể kích hoạt tùy chọn
Omit Recovery Option From The BitLocker Setup Wizard. Điều này sẽ ngăn
chặn không cho người dùng lưu hoặc in các bản copy khóa khơi phục của họ.
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn cách cấu hình Active
Directory để lưu các khóa khơi phục BitLocker cho các ổ ngoài. Trong phần 4 của
loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách làm việc của quá trình này
như thế nào.
