Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hướng dẫn cấu hình BitLocker (Phần 1) Nguồn : quantrimang.com  Martin Kiaer Hệ điều hành Microsoft gần - Windows Vista - tích hợp nhiều tính bảo mật Một tính bảo mật thú vị Windows Vista công cụ mã hóa ổ BitLocker BitLocker công cụ mã hóa ổ hoàn chỉnh, sử dụng để hỗ trợ bảo vệ phương pháp chứng thực Người dùng kinh nghiệm hỗ trợ may mắn trộn lẫn, phụ thuộc vào phương pháp chứng thực bảo vệ bạn chọn Trong này, giới thiệu cho bạn bước cách cài đặt cấu hình BitLocker Windows Vista Các yêu cầu phần cứng phần mềm BitLocker Với BitLocker, bạn có hai cách khác để bảo vệ khóa mật (a.k.a Volume Encryption Key) • • Chip TPM Sử dụng khóa rõ ràng, đơn giản cho phương pháp bảo vệ mật thông thường Khóa mật sử dụng để mã hóa ổ, việc bảo vệ khóa mật việc quan trọng Nếu người dùng có ác tâm xóa khóa mật bị xóa tình cờ bạn tốt hết nên sử dụng cài đặt khôi phục khóa tốt (chúng giới thiệu phần khôi phục cách chi tiết phần 2) Đứng phía tích cực, việc xóa khóa mật hoàn toàn có mục đích, môi trường kiểm soát, cách tốt để chấm dứt phục hồi nhanh chóng máy tính mà không cần phải buồn phiền cài đặt trước ổ mã hóa Trước cài đặt sử dụng BitLocker, bạn nên bảo đảm yêu cầu đây: • Chip TPM (Trusted Platform module) phiên 1.2 phát hành (chỉ yêu cầu bạn muốn sử dụng BitLocker với chip TPM) • BIOS hệ thống TCG (Trusted Computing Group) phiên 1.2 compliant (chỉ yêu cầu bạn muốn sử dụng BitLocker với chip TPM) • BIOS hệ thống hỗ trợ cho việc đọc ghi file nhỏ ổ flash USB Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com môi trường chưa có hệ điều hành • Máy tính phải có tối thiểu hai ổ trước BitLocker sử dụng: o o • Ổ System Volume Ổ phải có định dạng NTFS nên phân biệt với ổ hệ điều hành Ổ hệ thống không mã hóa, gồm có file phần cứng cần thiết cho việc load Windows sau chứng thực tiền khởi động Ổ thứ hai Operating System (OS) Volume Ổ phải định dạng NTFS có hệ điều hành Vista file hỗ trợ Tất liệu ổ hệ điều hành bảo vệ BitLocker Bạn cần phải ý BitLocker có hỗ trợ Windows Vista Enterprise, Windows Vista Ultimate Windows “Longhorn” Server Bây cấu hình BitLocker Chuẩn bị BIOS hệ thống Chip TPM không yêu cầu tốt sử dụng BitLocker Có số lý cho vấn đề đó: • Vì Microsoft nhà hỗ trợ lớn cho sáng kiến Trusted Computing Platform, chúng xây dựng lên nhiều tính Windows Vista (gồm có BitLocker) xung quanh chip này, cấu hình từ Active Directory dựa sở hạ tầng sử dụng Group Policy • BitLocker yếu tùy chọn chứng thực tiền khởi động, điều có qua so với công cụ mã hóa ổ cứng nhóm thứ ba Phương pháp tốt an toàn sử dụng BitLocker cấu hình cho phép TPM + pin code Chip TPM thẻ thông minh tạo với bo mạch chủ máy tính Chip TPM có khả thực chức mã hóa Nó tạo, lưu, quản lý khóa thực hoạt động chữ ký số,… bảo vệ thân chống lại công Có thể bạn tin sử dụng BitLocker với chip TPM điều đáng làm Tuy nhiên trước lợi dụng chip TPM Vista, bạn cần phải bảo đảm Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com phiên 1.2 TCG compliant Hầu hết chip TPM vi chương trình nâng cấp để chúng tương thích với Vista Điều có nghĩa BIOS bạn cần phải nâng cấp Nếu không bảo đảm có đầy đủ yêu cầu TPM bạn thử vào website nhà sản xuất máy tính để có nhiều thông tin chi tiết Trên hệ thống, tất cần phải thực nhập vào BIOS setup kích hoạt chip TPM (thường phân biệt BIOS với tư cách chip bảo mật) Nếu bạn thực xong công việc này, chuẩn bị chuyển sang phần Chuẩn bị ổ cứng Nếu bạn mua máy tính vào thời điểm gần mà có hệ điều hành Vista cài đặt trước cần ý ổ cứng phải có hai ổ khác Điều có nghĩa ổ máy tính chuẩn bị để hỗ trợ cho BitLocker, bạn chuyển sang bước Nếu ổ chuẩn bị từ hãng phần cứng máy tính mà bạn mua máy đơn giản muốn cài đặt lại Vista chuẩn bị cho BitLocker, bạn cần phải chuẩn bị ổ yêu cầu BitLocker đề cập đến phần Đó thứ cần phải thực suốt trình cài đặt Vista Vấn đề thực cách dễ dàng sử dụng Windows PE 2.0, thành phần có Vista DVD bạn có kịch nhỏ mà đề cập đến Quá trình dễ dàng bạn nghĩ Đây cần thực hiện: Copy kịch vào USB: bde-part.txt (được sử dụng cho phân vùng ổ cứng): select disk clean create partition primary size=1500 assign letter=S active format fs=ntfs quick create partition primary assign letter=C format fs=ntfs quick list volume Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com exit Quan trọng: Lệnh “clean” kịch bde-part.txt xóa phân vùng tồn bạn ổ cứng (ổ chính) gồm có phân vùng sửa/cài đặt cấu hình từ trước nhà sản xuất máy tính, sử dụng lệnh bạn cần quan tâm bỏ qua kịch Thay lệnh clean, bạn sử dụng diskpart select volume= sau diskpart delete volume muốn kiểm soát chặt chẽ với ổ muốn xóa Khi bạn copy kịch vào USB, lúc sử dụng Đưa USB vào bắt đầu khởi động máy tính từ Windows Vista product DVD Trong hình cài đặt, bạn chọn ngôn ngữ cài đặt, thời gian định dạng hành, Keyboard layout, sau kích Next Trong hình cài đặt tiếp theo, kích System Recovery Options Trong hộp thoại System Recovery Options, chọn keyboard layout bạn sau kích Next Trong hộp thoại System Recovery Options tiếp theo, bỏ chọn tất hệ điều hành Để thực điều đó, kích vùng trống danh sách hệ điều hành toàn danh sách liệt kê Sau kích Next Trong hộp thoại System Recovery Options tiếp theo, kích Command Prompt (xem hình 1) Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Đặt ký tự ổ đĩa gán cho USB bạn cách nhập vào lệnh sau: diskpart list volumes exit Tạo thông báo ký tự ổ đĩa gán cho USB Chuẩn bị ổ cách nhập vào lệnh sau diskpart /s :\bde-part.txt nên thay ký tự ổ đĩa đặt cho USB bạn Khi hoàn tất bước trên, bạn nên thoát khỏi cửa sổ lệnh quay trở chương trình cài đặt hoàn thiện trình Chuẩn bị chip TPM Trước bạn sử dụng chip TPM, cần phải chuẩn bị Điều có Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com nghĩa cần bảo đảm thứ sau: • • • Bảo đảm TPM driver cài đặt Vista Khởi chạy chip TPM Chiếm quyền sở hữu chip TPM Lưu ý: Nếu bạn không muốn sử dụng chip TPM với BitLocker bỏ qua phần chuyển sang phần Có vài lý Microsoft phụ thuộc vào chip TPM phiên 1.2 TCG compliant, hai lý chính, bên cạnh tính bảo mật thêm vào khả tương thích khả ổn định Microsoft cung cấp vấn đề thông qua dòng TPM Vista driver Nguyên tắc hàng đầu bạn sử dụng TPM driver Microsoft nêu muốn sử dụng BitLocker với chip TPM Xác nhận bạn sử dụng driver cho chip TPM (thừa nhận máy tính bạn có hỗ trợ nó) việc nhập vào Device Manager Trong hạng mục có tên gọi Security Devices, bạn nên quan sát TPM driver Microsoft có tên gọi “Trusted Platform Module 1.2” Nếu muốn thẩm định phiên driver, đơn giản cần kích phải vào Trusted Platform Module 1.2 device chọn Properties sau kích tab Driver, xem hình Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Nếu với lý lý khác mà bạn sử dụng TPM driver khác nâng cấp driver lên Microsoft TPM driver đề cập phần trên, bạn tìm thấy Vista DVD Khi thẩm định TPM driver load, lúc phải khởi tạo chip TPM Điều thực hai cách khác nhau, sử dụng TPM MMC (đơn giản cần đánh tpm.mcs) cấu hình từ tiện ích dòng lệnh Trong này, giới thiệu cho bạn cách thực từ tiện ích dòng lệnh manage-bde.wsf, kịch dựa WMI Từ Menu Start Vista, bạn tìm đến shortcut Command Prompt, kích chuột phải vào biểu tượng chọn Run as administrator Nhập vào lệnh sau: cscript manage-bde.wsf –tpm –takeownership cần phải thay chọn lựa mật riêng bạn Xử lý mật mật chủ TPM Chip TPM sẵn sàng cho sử dụng (xem hình 3) Hình Mã hóa ổ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Vậy qua tất bước cần thiết trước bắt đầu việc mã hóa ổ Một số bước giải thích, chuẩn bị trực tiếp từ nhà sản xuất máy tính áp dụng máy tính bạn phiên 1.2 TPM compliant chip Hãy chuyển tiếp mã hóa số liệu Điều thực theo hai cách khác nhau, sử dụng BitLocker Control Panel GUI thực từ dòng lệnh Trong giới thiệu cho bạn cách thực từ dòng lệnh số lý đây: BitLocker Control Panel GUI hỗ trợ máy tính có compliant TPM chip Điều có nghĩa bạn muốn lợi dụng BitLocker mà không sử dụng chip TPM, có lựa chọn tiện ích dòng lệnh (manage-bde.wsf) Lý hoàn toàn xác đáng BitLocker Vista hỗ trợ mã hóa cho OS Volume (thường ổ C:) Tuy với tiện ích dòng lệnh, bạn mã hóa ổ liệu này, tính hỗ trợ Longhorn Server Tiện ích dòng lệnh sử dụng để mã hóa máy tính khách môi trường Active Directory, vấn đề giới thiệu sâu phần Các ổ mã hóa • Từ Vista Start Menu, bạn tìm đến shortcut Command Prompt Kích chuột phải vào biểu tượng bạn chọn Run as administrator • Nhập vào dòng lệnh đây: cscript manage-bde.wsf –on /? • Điều hiển thị chứng thực tiền khởi động khác tùy chọn khôi phục mà bạn có với BitLocker Trong báo giới thiệu cho bạn cách mã hóa ổ với hỗ trợ TPM, ổ hỗ trợ TPM cuối ổ khác ổ C: Mã hóa BitLocker với hỗ trợ TPM Từ Menu Start Vista, bạn tìm đến shortcut Command Prompt Kích chuột phải vào biểu tượng chọn Run as administrator Nhập vào lệnh sau: Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com cscript manage-bde.wsf –on –recoverypassword C: Hình Theo hướng dẫn hình để bắt đầu trình mã hóa (xem hình 4) Mã hóa BitLocker hỗ trợ TPM Từ Menu Start Vista, bạn tìm đến shortcut Command Prompt Kích chuột phải vào biểu tượng chọn Run as administrator Nhập vào lệnh sau: cscript manage-bde.wsf –on –startupkey :-recoverypassword –recoverykey : ký tự ổ đĩa gán cho USB sử dụng thay cho chip TPM Nhớ phải có dấu “:” kèm với ký tự ổ ổ cứng, USB ổ mạng Tiếp đó, bạn phải nhớ đến dấu “:” kèm với ký tự ổ Mã hóa BitLocker ổ liệu Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Thủ tục tương tự ví dụ trước Hãy thay ký tự ổ đĩa ổ mà bạn muốn mã hóa Tính gặp số khó khăn bạn không cẩn thận • Đầu tiên làm việc bạn mã hóa OS Volume với tiện ích dòng lệnh có khả quản lý • Rắc rối thứ hai sau ổ liệu mã hóa, bạn truy cập vào liệu khởi động lại máy tính trừ bạn tự động mở khóa ổ liệu Đây cách bạn tránh vấn đề này: Chúng ta thừa nhận bạn mã hóa Data Volume ví dụ tham chiếu bạn Trước khởi động lại máy tính, bạn nhập vào lệnh sau: cscript manage-bde.wsf –autounlock –enable : ký tự ổ đĩa gán cho Data Volume Nhớ phải có dấu “:” kèm với ký tự ổ Lệnh tạo bảo vệ cho khóa mở rộng ổ liệu lưu khóa mật ổ hệ điều hành (thường ổ C:), ổ mà mã hóa từ trước Theo cách này, khóa mật cho ổ liệu bảo vệ khóa mật cho ổ hệ điều hành, nhiên tự động tải suốt giai đoạn khởi động Kết luận Trong giới thiệu cho bạn cách khác để kích hoạt BitLocker Vista so với hướng dẫn khác Microsoft Chúng muốn giới thiệu BitLocker có khả nhiều bạn thực từ GUI Trong phần loạt này, xem xét sâu cách cấu hình quản lý BitLocker từ môi trường Active Directory tập trung cách quản lý tốt BitLocker mặt khôi phục khóa   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hướng dẫn cấu hình BitLocker (Phần 2) Nguồn : quantrimang.com  Martin Kiaer Trong phần loạt này, giới thiệu cho bạn cách cấu hình BitLocker số vấn đề phức tạp cần phải biết trước bắt đầu sử dụng tính Trong phần hai này, tiếp tục giới thiệu BitLocker từ quan điểm Active Directory xem xét đến cấu hình TPM BitLocker Group Policy cách thực khôi phục khóa Những vấn đề tồn Chúng cho cần phải nói BitLocker môi trường Active Directory kịch sử dụng nhiều Bằng việc sử dụng BitLocker môi trường Active Directory, bạn có tất tính bảo mật từ BitLocker kết hợp với tất vấn đề bảo mật, khả có sẵn khả mở rộng với Active Directory Tuy nhiên trước bắt đầu, bạn quan tâm đến số vấn đề tồn sau: Microsoft tận phút chưa phát hành BitLocker Deployment Kit họ, cung cấp cho bạn liên kết thức copy kịch sử dụng báo Một mặt chưa thấy hữu hình triển khai BitLocker thức sớm phát hành, kịch mà sử dụng cung cấp Microsoft Mặc dù bạn cần phải ý tên số kịch đưa thay đổi BitLocker Deployment Kit thức phát hành Ngay sau Microsoft phát hành kịch viết khác có để cập đến bên này, cập nhật với liên kết tương ứng để phù hợp với tên file Chúng cho bạn biết cập nhật Các điều kiện định Trước bạn bắt đầu, xem qua số điều kiện cần phải thỏa mãn phép bạn kiểm soát BitLocker từ Active Directory Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com • Bạn cần phải mở rộng lược đồ Active Directory • Nếu bạn muốn kiểm soát thông tin khôi phục TPM từ Active Directory bạn cần thay đổi điều khoản đối tượng lớp Computer Active Directory • Các mở rộng lược đồ BitLocker Active Directory hỗ trợ điều khiển miền chạy Windows Server 2003 SP1 phiên hơn, Windows Server 2003 R2 Windows Server “Longhorn” • BitLocker hỗ trợ để chạy Windows Vista Enterprise, Windows Vista Ultimate Windows “Longhorn” Server Lưu ý: Trong tác giả viết này, Service Pack cho Windows Server 2003 có RTM SP2 nâng cấp lược đồ BitLocker Bạn chạy kịch mở rộng lược đồ BitLocker giải thích sau cài đặt SP2 setup Windows Server 2003 Các kịch cần thiết Đây lúc bắt đầu, hãu xem xét file yêu cầu để làm cho BitLocker tích hợp với Active Directory Windows Server 2003 Các file dùng để Active Directory Windows Server 2003 hỗ trợ cho BitLocker • • BitLockerTPMSchemaExtension.ldf Add-TPMSelfWriteACE.vbs Sử dụng file bên để giúp bạn thẩm định cấu hình BitLocker Active Directory Chúng sử dụng file ví dụ sau • • • List-ACEs.vbs Get-BitLockerRecoveryInfo.vbs Get-TPMOwnerInfo.vbs Mở rộng lược đồ Active Directory Sau thẩm định điều kiện tiên thẩm định kịch bản, lúc bạn sẵn sàng cho việc mở rộng Active Directory để lưu thông tin khôi phục TPM BitLocker Active Directory Cách làm việc là: thông tin khôi phục BitLocker lưu Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com đối tượng Computer Active Directory, điều có nghĩa đối tượng Computer phục vụ container cho nhiều đối tượng khôi phục BitLocker kết hợp với đối tượng Computer cụ thể Lý nói nhiều đối tượng khôi phục BitLocker có nhiều khóa khôi phục kết hợp với máy tính sử dụng BitLocker, ví dụ bạn mã hóa nhiều ấn máy tính Tên đối tượng khôi phục BitLocker có chiều dài cố định 63 ký tự, gồm có thông tin sau: Bạn cần biết thông tin trên, bạn có nhiều khóa khôi phục kết hợp với máy tính định xóa số khóa khôi phục cho mục đích bảo mật Tuy nhiên vấn đề không dừng lại Có nhiều thông tin lưu với đối tượng Computer Nếu bạn người may mắn với máy tính có chip TPM (Trusted Platform module) version 1.2, bạn lưu thông tin khôi phục TPM Active Directory Mặc dù bạn cần phải ý có mật TPM gán cho máy tính Khi TPM cài đặt bạn thay đổi mật TPM lưu thuộc tính đối tượng Compurter BitLocker Bây bắt đầu việc mở rộng lược đồ với BitLocker đối tượng thuộc tính TPM Bảo đảm bạn đăng nhập vào điều khiển miền với tư cách người dùng, phần nhóm “Schema Admins” Active Directory (Thông thường tài khoản quản trị viên thành viên nhóm mặc định) Bảo đảm bạn kết nối đến điều khiển miền Active Directory bạn để giữ Schema Master FSMO role Với này, sử dụng miền Active Directory có tên gọi domain.local Với thành phần đó, chạy lệnh sau (xem hình 1): ldifde -i -v -f BitLockerTPMSchemaExtension.ldf -c "DC=X" "dc=domain,dc=local" -k -j Sử dụng tham số -k để chặn thông báo lỗi "Object Already Exists" phần lược đồ tồn Sử dụng tham số -j (dấu ‘.’ phần tham số này) để lưu file ghi Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com mở rộng thư mục làm việc hành, trường hợp C:\LDIF.LOG Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bảo đảm tất mở rộng lược đồ phải áp dụng việc kiểm tra file ghi LDIF trước tiếp tục Việc cần thực thiết lập điều khoản BitLocker đối tượng lược đồ thông tin khôi phục TPM Bước thêm đầu vào điều khiển truy cập Access Control Entry (ACE) để làm cho backup thông tin khôi phục TPM cho Active Directory Chạy lệnh sau (xem hình 2): cscript Add-TPMSelfWriteACE.vbs Hình Đó Bây bạn mở rộng lược đồ Active Directory chuẩn bị cho BitLocker hỗ trợ TPM Lúc bạn sẵn sàng để thay đổi thiết lập cần thiết Group Policy cho BitLocker chip TPM (nếu máy tính bạn hỗ trợ tính này) Từ Vista, bạn đăng nhập với tài khoản miền có quyền thay đổi Group Policy Tại cửa sổ lệnh Vista Start | Search, bạn đánh vào GPMC.MSC nhấn phím Enter Có số thiết lập Group Policy mà bạn cấu hiển thị hình 3, nhiên có thiết lập mà bạn muốn cấu hình thiết lập kích Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com hoạt backup thông tin khôi phục BitLocker cho Active Directory • • • Tìm đến Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption Kích đúp vào Turn on BitLocker backup to Active Directory Domain Services Chọn Enabled Hình Nếu máy tính khách bạn hỗ trợ chip TPM, bạn kích hoạt thiết lập Group Policy phép máy khách backup thông tin khôi phục TPM cho Active Directory (hình 4): • • • Tìm đến Computer Configuration > Administrative Templates > System > Trusted Platform Module Services Kích đúp Turn on TPM backup to Active Directory Domain Services Chọn Enabled Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Thẩm định khôi phục khóa Active Directory Phần cuối giới thiệu cách thực mã hóa tập trung, bảo đảm đưa backup khóa khôi phục BitLocker sử dụng máy khách Vista, backup lưu Active Directory Trong ví dụ, sử dụng tiện ích dòng lệnh BitLocker (manage-bde.wsf) Bạn cần phải ý rằng, muốn sử dụng giao diện GUI cấu hình BitLocker chip TPM, khôi phục khóa (key) hỗ trợ Miễn máy tính sử dụng Vista thành viên miền có đủ yêu cầu tiên đề cập đến phần trước người dùng thực công việc quản trị viên miền, khôi phục key xảy cách lặng lẽ background mà không cần đến can thiệp người dùng Mã hóa BitLocker với hỗ trợ TPM Từ Vista Start Menu, tìm shortcut Command Prompt Kích chuột phải vào biểu tượng chọn Run as administrator Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Nhập vào lệnh sau: cscript manage-bde.wsf –on –recoverypassword C: Theo hướng dẫn hình để bắt đầu trình mã hóa (xem hình 5) Hình Khi đĩa mã hóa, kiểm tra xem key khôi phục BitLocker backup hay chưa cách đánh vào lệnh đây: cscript GET-BitLockerRecoveryInfo.VBS Lưu ý khôi phục liệt kê hình bên tương xứng với key khôi phục tạo bước trước liệt kê hình Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Kết luận Trong loạt gồm hai phần này, cố gắng xa có trước giới thiệu cho bạn phương pháp khác cách cấu hình tốt cho BitLocker Hai bao trùm tất lĩnh vực Điều thật đơn giản có nhiều thứ mà nói hết Tuy nhiên cố gắng truyền cảm hứng để bạn có đủ thông tin tiếp tục nghiên cứu khai thác tất tính khác BitLocker BitLocker công cụ mã hóa ổ cứng hoàn hảo Nó có nhiều thiếu sót chứng thực tiền khởi động yếu thiếu hỗ trợ cho chứng thực đa hệ số (bên cạnh hỗ trợ TPM key USB chuẩn) BitLocker cồng kềnh việc cấu hình Nếu bạn muốn hỗ trợ nhiều hệ số tốt hơn, hỗ trợ Vista chí mã hóa toàn máy chủ chọn SecureDoc WinMagic, phần mềm cho phép bạn thực nhiệm vụ cách dễ dàng Tuy nhiên BitLocker bước chuyển lớn so với thấy từ Microsoft thú vị với phiên dự kiến phát hành vào cuối năm   [...]... http://www.simpopdf.com Hướng dẫn cấu hình BitLocker (Phần 2) Nguồn : quantrimang.com  Martin Kiaer Trong phần 1 của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách cấu hình BitLocker và một số vấn đề phức tạp cần phải biết trước khi bắt đầu sử dụng tính năng này Trong phần hai này, chúng tôi sẽ tiếp tục giới thiệu về BitLocker từ quan điểm Active Directory và xem xét đến cấu hình TPM và BitLocker bằng... bạn có thể cấu hình như được hiển thị trong hình 3, tuy nhiên có một thiết lập mà bạn muốn cấu hình là thiết lập kích Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com hoạt backup của thông tin khôi phục BitLocker cho Active Directory • • • Tìm đến Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption Kích đúp vào Turn on BitLocker. .. lúc chúng ta bắt đầu, hãu xem xét các file yêu cầu để làm cho BitLocker tích hợp với một Active Directory trên Windows Server 2003 Các file dưới đây được dùng để Active Directory của Windows Server 2003 hỗ trợ cho BitLocker • • BitLockerTPMSchemaExtension.ldf Add-TPMSelfWriteACE.vbs Sử dụng các file bên dưới để giúp bạn thẩm định cấu hình BitLocker trong Active Directory Chúng tôi sẽ sử dụng một trong... http://www.simpopdf.com Hình 4 Thẩm định khôi phục khóa trong Active Directory Phần cuối cùng bài này sẽ giới thiệu cách thực hiện một mã hóa tập trung, bảo đảm đưa backup của khóa khôi phục BitLocker được sử dụng bởi máy khách Vista, backup được lưu trong Active Directory Trong ví dụ, chúng tôi sử dụng tiện ích dòng lệnh BitLocker (manage-bde.wsf) Bạn cần phải chú ý rằng, nếu muốn sử dụng giao diện GUI khi cấu hình BitLocker. .. người dùng Mã hóa BitLocker với sự hỗ trợ của TPM 1 Từ Vista Start Menu, tìm shortcut của Command Prompt Kích chuột phải vào biểu tượng đó và chọn Run as administrator Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com 2 Nhập vào lệnh sau: cscript manage-bde.wsf –on –recoverypassword C: 3 Theo các hướng dẫn trên màn hình để bắt đầu quá trình mã hóa (xem hình 5) Hình 5 4 Khi bộ đĩa... chúng ta có thể kiểm tra xem key khôi phục BitLocker đã được backup hay chưa bằng cách đánh vào lệnh dưới đây: cscript GET-BitLockerRecoveryInfo.VBS Lưu ý rằng khôi phục được liệt kê trong hình 6 bên dưới tương xứng với key khôi phục được tạo ra trong bước trước và được liệt kê trong hình 5 Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 6 Kết luận Trong loạt bài gồm hai... cho bạn các phương pháp khác nhau về cách cấu hình tốt nhất cho BitLocker Hai bài này sẽ không thể bao trùm được tất cả các lĩnh vực Điều này thật đơn giản vì có quá nhiều thứ mà không thể nói hết Tuy nhiên chúng tôi cũng đã cố gắng truyền cảm hứng để bạn có đủ thông tin có thể tiếp tục nghiên cứu và khai thác tất cả các tính năng khác nhau trong BitLocker BitLocker cũng không phải là một công cụ mã... backup các thông tin khôi phục TPM cho Active Directory Chạy lệnh sau (xem hình 2): cscript Add-TPMSelfWriteACE.vbs Hình 2 Đó chính là nó Bây giờ bạn đã mở rộng được lược đồ trong Active Directory và chuẩn bị nó cho BitLocker và hỗ trợ TPM Lúc này bạn đã sẵn sàng để có thể thay đổi các thiết lập cần thiết của Group Policy cho cả BitLocker và chip TPM (nếu máy tính của bạn hỗ trợ tính năng này) 1 Từ Vista,... container cho một hoặc nhiều đối tượng khôi phục BitLocker được kết hợp với một đối tượng Computer cụ thể nào đó Lý do tại sao chúng tôi nói là một hoặc nhiều đối tượng khôi phục BitLocker là vì nó có thể có nhiều khóa khôi phục được kết hợp với một máy tính sử dụng BitLocker, ví dụ nếu bạn đã mã hóa nhiều ấn bản trên cùng một máy tính Tên của đối tượng khôi phục BitLocker có một chiều dài cố định là 63 ký... cho chứng thực đa hệ số (bên cạnh sự hỗ trợ TPM và key USB chuẩn) và BitLocker cũng khá cồng kềnh trong việc cấu hình Nếu bạn muốn hỗ trợ nhiều hệ số tốt hơn, hỗ trợ Vista và thậm chí mã hóa toàn bộ máy chủ thì có thể chọn SecureDoc của WinMagic, phần mềm này sẽ cho phép bạn có thể thực hiện nhiệm vụ này một cách dễ dàng hơn Tuy nhiên BitLocker vẫn là một bước chuyển lớn khi so với những gì chúng ta thấy ... để kích hoạt BitLocker Vista so với hướng dẫn khác Microsoft Chúng muốn giới thiệu BitLocker có khả nhiều bạn thực từ GUI Trong phần loạt này, xem xét sâu cách cấu hình quản lý BitLocker từ môi... cách cấu hình BitLocker số vấn đề phức tạp cần phải biết trước bắt đầu sử dụng tính Trong phần hai này, tiếp tục giới thiệu BitLocker từ quan điểm Active Directory xem xét đến cấu hình TPM BitLocker. .. –recoverypassword C: Theo hướng dẫn hình để bắt đầu trình mã hóa (xem hình 5) Hình Khi đĩa mã hóa, kiểm tra xem key khôi phục BitLocker backup hay chưa cách đánh vào lệnh đây: cscript GET-BitLockerRecoveryInfo.VBS