Sử dụng BitLocker để mã hóa ổ Trong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật BitLocker theo một cách thống nhất hơn qua sử dụng các thiết lập chính sách nhóm. Các thiết lập mặc định trong Windows 7 cho phép người dùng có thể quyết định có nên mã hóa và khi nào mã hóa dữ liệu trên các ổ lưu trữ ngoài. Trong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật BitLocker theo một cách thống...
Sử dụng BitLocker để mã hóa ổ Trong phần hai loạt giới thiệu cho bạn cách thực thi bảo mật BitLocker theo cách thống qua sử dụng thiết lập sách nhóm Các thiết lập mặc định Windows cho phép người dùng định có nên mã hóa mã hóa liệu ổ lưu trữ Trong phần hai loạt giới thiệu cho bạn cách thực thi bảo mật BitLocker theo cách thống qua sử dụng thiết lập sách nhóm Trong phần một, chúng tơi giới thiệu cho bạn cách sử dụng BitLocker cách thủ cơng để mã hóa nội dung ổ USB Mặc dù thủ tục mà giới thiệu cho bạn phần trước làm việc tốt, cịn nhiều lựa chọn khác Hãy hình dung trường hợp cơng ty bạn có nhiều thông tin nhạy cảm file liệu Lý tưởng mà nói, bạn chắn muốn bảo vệ tất liệu cách an tồn Tuy nhiên thực tế, có nhiều nhân viên cơng ty bạn mà cơng việc họ yêu cầu phải truy cập vào số liệu định, chí họ khơng thể kết nối với mạng công ty Một thứ cần mang giả định cho tình nhân viên bạn để quên USB họ nơi bên USB chứa nhiều liệu khách hàng, mã hóa bắt buộc phải có BitLocker to Go cung cấp kiểu mã hóa bạn cần thiết lúc này, nhiên phương pháp mã hóa mà chúng tơi giới thiệu cho bạn phần loạt lại yêu cầu người dùng tự mã hóa ổ lưu trữ USB họ Rõ ràng khơng thể đặt cơng việc mã hóa vào tay người dùng tin tưởng họ thực tốt việc Để có tính khả thi hơn, cần phải tìm phương pháp khác Windows Windows Server 2008 R2 có thiết lập sách nhóm mà sử dụng để kiểm sốt cách thời điểm sử dụng mã hóa BitLocker Group Policy Object Editor có chứa nhiều thiết lập Group Policy có liên quan đến mã hóa BitLocker, nhiên có thư mục có chứa thiết lập mã hóa BitLocker cho thiết bị lưu trữ ngồi Bạn truy cập vào thư mục Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Removable Data Drives Có thể thấy thiết lập sách nhóm bên thư mục hình A Hình A: Tất thiết lập liên quan đến mã hóa thiết bị lưu trữ ngồi lưu thư mục Removable Data Drives Kiểm sốt sử dụng BitLocker ổ lưu trữ ngồi Thiết lập Group Policy mà muốn giới thiệu thiết lập “Control Use of BitLocker on Removable Drives” Như tên ngụ ý nó, thiết lập cho phép bạn kiểm sốt người dùng có phép mã hóa thiết bị lưu trữ ngồi BitLocker hay khơng Đơn giản nhất, vơ hiệu hóa thiết lập ngăn chặn người dùng mã hóa thiết bị lưu trữ ngồi, họ sử dụng BitLocker để mã hóa chúng bạn khơng thực Nếu chọn vơ hiệu hóa thiết lập sách nhóm, có hai tùy chọn khác để thiết lập Tùy chọn số hai tùy chọn cho phép người dùng sử dụng bảo vệ BitLocker thiết bị lưu trữ ngồi hay khơng Rõ ràng tùy chọn có đơi chút rườm rà lý Microsoft đưa cho phép bạn kiểm soát thiết lập thiết lập mà giới thiệu thiết lập sách nhóm kích hoạt Thiết lập thứ hai cho phép người dùng hoãn giải mã bảo vệ BitLocker thiết bị lưu trữ ngồi Nói theo cách khác, bạn kiểm sốt việc cho phép người dùng tắt BitLocker cho thiết bị lưu trữ ngồi Cấu hình sử dụng thẻ thơng minh ổ đĩa lưu trữ ngồi Thiết lập sách nhóm cho phép bạn kiểm sốt việc sử dụng thẻ thông minh chế cho việc thẩm định người dùng việc truy cập vào nội dung mã hóa BitLocker Nếu định kích hoạt thiết lập Group Policy này, có tùy chọn mà bạn sử dụng để yêu cầu việc sử dụng thẻ thông minh Nếu chọn tùy chọn này, người dùng truy cập nội dung mã hóa BitLocker cách sử dụng q trình thẩm định thẻ thơng minh Từ chối truy cập “Write” lên ổ lưu trữ ngồi khơng bảo vệ BitLocker Thiết lập “Deny Write Access to Removable Drives Not Protected By BitLocker” thiết lập Group Policy quan trọng có liên quan tới việc mã hóa thiết bị lưu trữ ngồi Khi kích hoạt thiết lập này, Windows kiểm tra thiết bị lưu trữ kết nối với máy tính để xem mã hóa BitLocker kích hoạt hay chưa Nếu BitLocker chưa kích hoạt thiết bị, xử lý trạng thái “read only” Người dùng nhận mức truy cập “write” BitLocker kích hoạt thiết bị Bằng cách này, bạn ngăn chặn người dùng ghi liệu thiết bị lưu trữ ngồi khơng mã hóa Khi kích hoạt thiết lập sách nhóm này, bạn trao tùy chọn khóa truy cập mức “write” cho thiết bị cấu hình tổ chức khác Tùy chọn giúp bạn ngăn chặn việc sử dụng thiết bị lưu trữ ngồi khơng thẩm định Hình dung trường hợp bạn muốn bảo đảm có người dùng xác thực (đã thẩm định) ghi liệu vào thiết bị lưu trữ ngoài, liệu ghi vào thiết bị mã hóa Lúc giả định nhân viên công ty bạn muốn copy danh sách khách hàng bạn vào USB Nếu mục tiêu tuyên bố bạn ngăn chặn ghi liệu vào thiết bị lưu trữ định dạng khơng mã hóa bạn lúc bạn kích hoạt thiết lập “Deny Write Access to Removable Drives Not Protected By BitLocker” Điều cho phép bạn có số mức bảo vệ, cho phép người dùng kích hoạt BitLocker máy tính nhà họ, mã hóa USB, sau mang ổ đĩa mã hóa đến văn phịng ghi liệu lên Kích hoạt tùy chọn “Do Not Allow Write Access to Devices Configured in Another Organization” cho phép Windows tìm thiết bị lưu trữ đến từ đâu Nếu thiết bị mã hóa tổ chức khác, BitLocker từ chối mức truy cập “write” chúng Cho phép truy cập đến thiết bị lưu trữ bảo vệ BitLocker từ phiên Windows trước Một số người nhận định tùy chọn đặt tên chưa thật thỏa đáng Sự thật Windows không thực quan tâm đến phiên Windows sử dụng để định dạng thiết bị lưu trữ ngồi Mà thay vào đó, tùy chọn cho phép bạn kiểm sốt việc có cho phép người dùng mở khóa thiết bị lưu trữ mã hóa BitLocker định dạng với hệ thống file FAT Nếu kích hoạt thiết lập này, có tùy chọn khác mà bạn kích hoạt nhằm ngăn chặn việc BitLocker to Go Reader cài đặt vào ổ lưu trữ định dạng hệ thống file FAT Cấu hình sử dụng mật cho thiết bị lưu trữ Đây thiết lập dễ hiểu Nó cho phép bạn kiểm sốt việc có cần u cầu sử dụng mật để mở khóa nội dung bên thiết bị lưu trữ ngồi hay khơng Giả định muốn bảo vệ mật cho thiết bị lưu trữ ngồi này, bạn có thêm tùy chọn cho việc kiểm soát độ dài yêu cầu tính mức tạp mật Kết luận Các thiết lập sách nhóm mà chúng tơi giới thiệu cho bạn nhằm mục đích điều khiển cách BitLocker sử dụng với thiết bị lưu trữ Mặc dù vật vấn đề phát sinh với việc mã hóa liệu khóa mã hóa bị mất, liệu bạn khơng thể giải mã Chính phần ba loạt này, giới thiệu cho bạn kỹ thuật tránh vấn đề cách lưu khóa mã hóa Active Directory ... dùng có phép mã hóa thiết bị lưu trữ ngồi BitLocker hay khơng Đơn giản nhất, vơ hiệu hóa thiết lập ngăn chặn người dùng mã hóa thiết bị lưu trữ ngồi, họ sử dụng BitLocker để mã hóa chúng bạn... thiết lập sách nhóm mà sử dụng để kiểm sốt cách thời điểm sử dụng mã hóa BitLocker Group Policy Object Editor có chứa nhiều thiết lập Group Policy có liên quan đến mã hóa BitLocker, nhiên có thư... nhằm mục đích điều khiển cách BitLocker sử dụng với thiết bị lưu trữ Mặc dù vật vấn đề phát sinh với việc mã hóa liệu khóa mã hóa bị mất, liệu bạn khơng thể giải mã Chính phần ba loạt này, giới