Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưu các khóa BitLocker Recovery trong cơ sở dữ liệu Active Directory. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách điều chỉnh cho BitLocker được sử dụng như thế nào trong tổ chức qua các thiết lập chính sách nhóm. Như những gì chúng tôi đã nói ở cuối phần trước, một trong những vấn đề lớn với việc mã hóa thiết bị lưu trữ là tiềm ẩn khả năng mất dữ liệu. Như những...
BitLocker để mã hóa ổ lưu trữ ngồi Trong phần ba loạt này, giới thiệu cho bạn cách lưu khóa BitLocker Recovery sở liệu Active Directory Trong phần trước loạt này, giới thiệu cho bạn cách điều chỉnh cho BitLocker sử dụng tổ chức qua thiết lập sách nhóm Như chúng tơi nói cuối phần trước, vấn đề lớn với việc mã hóa thiết bị lưu trữ tiềm ẩn khả liệu Như bạn biết, thiết bị mã hóa BitLocker bảo vệ mật Tuy nhiên vấn đề người dùng quên mật trở thành nạn nhân việc mã hóa, họ lấy liệu thiết bị mà thực mã hóa Nếu bạn dừng lại nghĩ nó, việc liệu mã hóa mà khơng thể giải mã chẳng khác việc liệu bị lỗi Nếu quay trở lại phần loạt này, bạn thấy mã hóa ổ đĩa BitLocker, Windows hiển thị thông báo, giống hiển thị hình A bên dưới, thơng báo cho bạn biết quên mật khẩu, người dùng sử dụng khóa khơi phục để truy cập vào ổ đĩa Windows khơng tự động cung cấp cho bạn khóa khơi phục mà cịn bắt buộc bạn phải in khóa khơi phục giấy lưu vào file Hình A: BitLocker bảo vệ người dùng tránh tượng liệu cách cung cấp cho họ khóa khơi phục Việc đưa khóa khôi phục để tránh liệu ý tưởng tốt, nhiên giới thực lại khơng mang tính thực tế Mất khóa mã hóa gây hậu nghiêm trọng môi trường công ty, nơi liệu thay Tuy nhiên cần nói lời cảm ơn bạn phụ thuộc vào người dùng để theo dõi khóa khơi phục họ mà lưu khóa khơi phục Active Directory Chuẩn bị Active Directory Trước cấu hình BitLocker để lưu khóa khơi phục Active Directory, cần thực số công việc chuẩn bị Chúng bảo đảm chắn bạn biết điều này, BitLocker to Go giới thiệu lần Windows Windows Server 2008 R2 Nó bổ sung với lý hỗ trợ khơi phục khóa BitLocker to Go mức Active Directory, sau bạn cần chạy số mã Windows Server 2008 R2 domain controller Tin hay khơng tùy, bạn nâng cấp tất domain controller lên Windows Server 2008 R2, trừ muốn Thay vào đó, sử dụng DVD cài đặt Windows Server 2008 R2 để mở rộng giản đồ Active Directory domain controller hoạt động schema master cho Active Directory forest Trước giới thiệu cho bạn cách mở rộng giản đồ Active Directory, cần phải cảnh báo bạn thủ tục thừa nhận tất domain controller chạy Windows 2000 Server SP4 phiên cao Nếu có domain controller cũ bạn cần phải nâng cấp chúng lên để thực mở rộng giản đồ cần thiết Bạn nên thực backup trạng thái toàn hệ thống domain controller trước mở rộng giản đồ Active Directory Cách thức để đề phịng có vấn đề xảy khơng theo ý muốn q trình mở rộng, bạn khơi phục lại trạng thái trước Với cơng tác chuẩn bị đó, bạn mở rộng giản đồ Active Directory cách chèn DVD cài đặt Windows Server 2008 R2 bạn vào schema master Sau đó, mở cửa sổ nhắc lệnh Command Prompt cách sử dụng tùy chọn Run As Administrator nhập vào lệnh (ở D: ổ đĩa có chứa đĩa cài đặt): D: CD\ CD SUPPORT\ADPREP ADPREP /FORESTPREP Khi tiện ích ADPrep load, bạn yêu cầu xác nhận domain controller chạy phiên Windows Server thích hợp Đơn giản phím C sau nhấn Enter để bắt đầu q trình mở rộng giản đồ, thể hình B Tồn trình mở rộng giản đồ vài phút để hồn tất Hình B: Giản đồ Active Directory phải mở rộng trước khóa BitLocker lưu Active Directory Cấu hình sách nhóm (Group Policy) Việc mở rộng cách đơn giản giản đồ Active Directory không bắt buộc BitLocker lưu khóa khơi phục Active Directory Do để có điều mong muốn cần phải cấu hình vài thiết lập sách nhóm Bắt đầu q trình cách load sách nhóm sử dụng cho máy trạm bạn Group Policy Management Editor Điều hướng thông qua giao diện để đến Computer Configuration | Policies | Administrative Templates: Policy Definitions | Windows Components | BitLocker Drive Encryption | Removable Data Drives Như bạn nhớ lại, chúng tơi giới thiệu hầu hết thiết lập sách riêng rẽ phần trước loạt Đến đây, bạn cần kích hoạt thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker, xem thể hình C Quả thực, khơng phải yêu cầu bắt buộc, nhiên cho mang đến cho bạn cách bắt buộc người dùng phải mã hóa ổ USB họ Nếu bắt buộc người dùng sử dụng mã hóa BitLocker bạn nên chọn tùy chọn Do Not Allow Write Access to Devices Configured in Another Organization Lần nữa, tùy chọn bắt buộc giúp bạn cải thiện độ bảo mật Hình C: Nếu muốn thực thi mã hóa backup cho ổ ngồi, bạn cần phải kích hoạt thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker Bước q trình kích hoạt thiết lập Choose How BitLocker Removable Drives Can Be Recovered Nếu quan sát hình D, bạn thấy hộp thoại hiển thị kích đúp vào thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker Như bạn thấy hình, có loạt hộp kiểm mà bạn chọn thiết lập sách nhóm kích hoạt Hình D: Có ba tùy chọn bạn nên kích hoạt Nếu mục tiêu lưu copy khóa khơi phục Active Directory thực có ba tùy chọn mà bạn cần phải kích hoạt Đầu tiên tùy chọn Allow Data Recovery Agent Tùy chọn chọn mặc định, nhiên tùy chọn quan trọng cho thành cơng tồn q trình khơi phục khóa nên bạn cần phải thẩm định kích hoạt Tiếp đến, bạn cần phải chọn Save BitLocker Recovery Information to AD DS for Removable Data Drives Như bạn đốn, tùy chọn lưu khóa khơi phục BitLocker vào Active Directory Cuối cùng, bạn cần chọn tùy chọn Do Not Enable BitLocker Until Recovery Information Is Stored To AD DS For Removable Data Drives Tùy chọn bắt buộc Windows xác nhận khôi phục ghi vào Active Directory trước BitLocker phép mã hóa ổ ngồi Mặc dù không bắt buộc số quản trị viên kích hoạt tùy chọn Omit Recovery Option From The BitLocker Setup Wizard Điều ngăn chặn không cho người dùng lưu in copy khóa khơi phục họ Kết luận Trong phần này, giới thiệu cho bạn cách cấu hình Active Directory để lưu khóa khơi phục BitLocker cho ổ Trong phần loạt này, giới thiệu cho bạn cách làm việc trình ... khơng phải phụ thuộc vào người dùng để theo dõi khóa khơi phục họ mà lưu khóa khôi phục Active Directory Chuẩn bị Active Directory Trước cấu hình BitLocker để lưu khóa khơi phục Active Directory,... A: BitLocker bảo vệ người dùng tránh tượng liệu cách cung cấp cho họ khóa khơi phục Việc đưa khóa khơi phục để tránh liệu ý tưởng tốt, nhiên giới thực lại khơng mang tính thực tế Mất khóa mã hóa. .. Protected by BitLocker, xem thể hình C Quả thực, yêu cầu bắt buộc, nhiên cho mang đến cho bạn cách bắt buộc người dùng phải mã hóa ổ USB họ Nếu bắt buộc người dùng sử dụng mã hóa BitLocker bạn