Đang tải... (xem toàn văn)
Hệ điều hành mới của Microsoft gần đây - Windows Vista - được tích hợp rất nhiều tính năng bảo mật mới. Một trong những tính năng bảo mật thú vị nhất của Windows Vista đó là công cụ mã hóa ổ BitLocker. BitLocker là một công cụ mã hóa ổ hoàn chỉnh, được sử dụng để hỗ trợ bảo vệ và các phương pháp chứng thực
Hướng dẫn cấu hình BitLocker (Phần 1) Nguồn : quantrimang.com Martin Kiaer Hệ điều hành Microsoft gần - Windows Vista - tích hợp nhiều tính bảo mật Một tính bảo mật thú vị Windows Vista cơng cụ mã hóa ổ BitLocker BitLocker cơng cụ mã hóa ổ hoàn chỉnh, sử dụng để hỗ trợ bảo vệ phương pháp chứng thực Người dùng kinh nghiệm hỗ trợ may mắn trộn lẫn, phụ thuộc vào phương pháp chứng thực bảo vệ bạn chọn Trong này, giới thiệu cho bạn bước cách cài đặt cấu hình BitLocker Windows Vista Các yêu cầu phần cứng phần mềm BitLocker Với BitLocker, bạn có hai cách khác để bảo vệ khóa mật (a.k.a Volume Encryption Key) • • Chip TPM Sử dụng khóa rõ ràng, đơn giản cho phương pháp bảo vệ mật thơng thường Khóa mật sử dụng để mã hóa ổ, việc bảo vệ khóa mật việc quan trọng Nếu người dùng có ác tâm xóa khóa mật bị xóa tình cờ bạn tốt hết nên sử dụng cài đặt khơi phục khóa tốt (chúng tơi giới thiệu phần khơi phục cách chi tiết phần 2) Đứng phía tích cực, việc xóa khóa mật hồn tồn có mục đích, mơi trường kiểm sốt, cách tốt để chấm dứt phục hồi nhanh chóng máy tính mà khơng cần phải buồn phiền cài đặt trước ổ mã hóa Trước cài đặt sử dụng BitLocker, bạn nên bảo đảm yêu cầu đây: • Chip TPM (Trusted Platform module) phiên 1.2 phát hành (chỉ yêu cầu bạn muốn sử dụng BitLocker với chip TPM) • BIOS hệ thống TCG (Trusted Computing Group) phiên 1.2 compliant (chỉ yêu cầu bạn muốn sử dụng BitLocker với chip TPM) • BIOS hệ thống hỗ trợ cho việc đọc ghi file nhỏ ổ flash USB mơi trường chưa có hệ điều hành • Máy tính phải có tối thiểu hai ổ trước BitLocker sử dụng: o o • Ổ System Volume Ổ phải có định dạng NTFS nên phân biệt với ổ hệ điều hành Ổ hệ thống khơng mã hóa, gồm có file phần cứng cần thiết cho việc load Windows sau chứng thực tiền khởi động Ổ thứ hai Operating System (OS) Volume Ổ phải định dạng NTFS có hệ điều hành Vista file hỗ trợ Tất liệu ổ hệ điều hành bảo vệ BitLocker Bạn cần phải ý BitLocker có hỗ trợ Windows Vista Enterprise, Windows Vista Ultimate Windows “Longhorn” Server Bây cấu hình BitLocker Chuẩn bị BIOS hệ thống Chip TPM không yêu cầu tốt sử dụng BitLocker Có số lý cho vấn đề đó: • Vì Microsoft nhà hỗ trợ lớn cho sáng kiến Trusted Computing Platform, chúng xây dựng lên nhiều tính Windows Vista (gồm có BitLocker) xung quanh chip này, cấu hình từ Active Directory dựa sở hạ tầng sử dụng Group Policy • BitLocker yếu tùy chọn chứng thực tiền khởi động, điều có qua so với cơng cụ mã hóa ổ cứng nhóm thứ ba Phương pháp tốt an toàn sử dụng BitLocker cấu hình cho phép TPM + pin code Chip TPM thẻ thông minh tạo với bo mạch chủ máy tính Chip TPM có khả thực chức mã hóa Nó tạo, lưu, quản lý khóa thực hoạt động chữ ký số,… bảo vệ thân chống lại cơng Có thể bạn tin sử dụng BitLocker với chip TPM điều đáng làm Tuy nhiên trước lợi dụng chip TPM Vista, bạn cần phải bảo đảm phiên 1.2 TCG compliant Hầu hết chip TPM vi chương trình nâng cấp để chúng tương thích với Vista Điều có nghĩa BIOS bạn cần phải nâng cấp Nếu khơng bảo đảm có đầy đủ yêu cầu TPM bạn thử vào website nhà sản xuất máy tính để có nhiều thơng tin chi tiết Trên hệ thống, tất cần phải thực nhập vào BIOS setup kích hoạt chip TPM (thường phân biệt BIOS với tư cách chip bảo mật) Nếu bạn thực xong công việc này, chuẩn bị chuyển sang phần Chuẩn bị ổ cứng Nếu bạn mua máy tính vào thời điểm gần mà có hệ điều hành Vista cài đặt trước cần ý ổ cứng phải có hai ổ khác Điều có nghĩa ổ máy tính chuẩn bị để hỗ trợ cho BitLocker, bạn chuyển sang bước Nếu khơng có ổ chuẩn bị từ hãng phần cứng máy tính mà bạn mua máy đơn giản muốn cài đặt lại Vista chuẩn bị cho BitLocker, bạn cần phải chuẩn bị ổ yêu cầu BitLocker đề cập đến phần Đó thứ cần phải thực suốt trình cài đặt Vista Vấn đề thực cách dễ dàng sử dụng Windows PE 2.0, thành phần có Vista DVD bạn có kịch nhỏ mà đề cập đến Quá trình dễ dàng bạn nghĩ Đây cần thực hiện: Copy kịch vào USB: bde-part.txt (được sử dụng cho phân vùng ổ cứng): select disk clean create partition primary size=1500 assign letter=S active format fs=ntfs quick create partition primary assign letter=C format fs=ntfs quick list volume exit Quan trọng: Lệnh “clean” kịch bde-part.txt xóa phân vùng tồn bạn ổ cứng (ổ chính) gồm có phân vùng sửa/cài đặt cấu hình từ trước nhà sản xuất máy tính, sử dụng lệnh bạn cần quan tâm bỏ qua kịch Thay lệnh clean, bạn sử dụng diskpart select volume= sau diskpart delete volume muốn kiểm soát chặt chẽ với ổ muốn xóa Khi bạn copy kịch vào USB, lúc sử dụng Đưa USB vào bắt đầu khởi động máy tính từ Windows Vista product DVD Trong hình cài đặt, bạn chọn ngôn ngữ cài đặt, thời gian định dạng hành, Keyboard layout, sau kích Next Trong hình cài đặt tiếp theo, kích System Recovery Options Trong hộp thoại System Recovery Options, chọn keyboard layout bạn sau kích Next Trong hộp thoại System Recovery Options tiếp theo, bỏ chọn tất hệ điều hành Để thực điều đó, kích vùng trống danh sách hệ điều hành tồn danh sách liệt kê Sau kích Next Trong hộp thoại System Recovery Options tiếp theo, kích Command Prompt (xem hình 1) Hình Đặt ký tự ổ đĩa gán cho USB bạn cách nhập vào lệnh sau: diskpart list volumes exit Tạo thông báo ký tự ổ đĩa gán cho USB Chuẩn bị ổ cách nhập vào lệnh sau diskpart /s :\bde-part.txt nên thay ký tự ổ đĩa đặt cho USB bạn Khi hoàn tất bước trên, bạn nên thoát khỏi cửa sổ lệnh quay trở chương trình cài đặt hồn thiện q trình Chuẩn bị chip TPM Trước bạn sử dụng chip TPM, cần phải chuẩn bị Điều có nghĩa cần bảo đảm thứ sau: • • • Bảo đảm TPM driver cài đặt Vista Khởi chạy chip TPM Chiếm quyền sở hữu chip TPM Lưu ý: Nếu bạn không muốn sử dụng chip TPM với BitLocker bỏ qua phần chuyển sang phần Có vài lý Microsoft phụ thuộc vào chip TPM phiên 1.2 TCG compliant, hai lý chính, bên cạnh tính bảo mật thêm vào khả tương thích khả ổn định Microsoft cung cấp vấn đề thơng qua dịng TPM Vista driver Ngun tắc hàng đầu bạn sử dụng TPM driver Microsoft nêu muốn sử dụng BitLocker với chip TPM Xác nhận bạn sử dụng driver cho chip TPM (thừa nhận máy tính bạn có hỗ trợ nó) việc nhập vào Device Manager Trong hạng mục có tên gọi Security Devices, bạn nên quan sát TPM driver Microsoft có tên gọi “Trusted Platform Module 1.2” Nếu muốn thẩm định phiên driver, đơn giản cần kích phải vào Trusted Platform Module 1.2 device chọn Properties sau kích tab Driver, xem hình Hình Nếu với lý lý khác mà bạn sử dụng TPM driver khác nâng cấp driver lên Microsoft TPM driver đề cập phần trên, bạn tìm thấy Vista DVD Khi thẩm định TPM driver load, lúc phải khởi tạo chip TPM Điều thực hai cách khác nhau, sử dụng TPM MMC (đơn giản cần đánh tpm.mcs) cấu hình từ tiện ích dịng lệnh Trong này, giới thiệu cho bạn cách thực từ tiện ích dịng lệnh manage-bde.wsf, kịch dựa WMI Từ Menu Start Vista, bạn tìm đến shortcut Command Prompt, kích chuột phải vào biểu tượng chọn Run as administrator Nhập vào lệnh sau: cscript manage-bde.wsf –tpm –takeownership cần phải thay chọn lựa mật riêng bạn Xử lý mật mật chủ TPM Chip TPM sẵn sàng cho sử dụng (xem hình 3) Hình Mã hóa ổ Vậy qua tất bước cần thiết trước bắt đầu việc mã hóa ổ Một số bước giải thích, chuẩn bị trực tiếp từ nhà sản xuất máy tính khơng thể áp dụng máy tính bạn khơng có phiên 1.2 TPM compliant chip Hãy chuyển tiếp mã hóa số liệu Điều thực theo hai cách khác nhau, sử dụng BitLocker Control Panel GUI thực từ dòng lệnh Trong giới thiệu cho bạn cách thực từ dịng lệnh số lý đây: BitLocker Control Panel GUI hỗ trợ máy tính có compliant TPM chip Điều có nghĩa bạn muốn lợi dụng BitLocker mà khơng sử dụng chip TPM, có lựa chọn tiện ích dịng lệnh (manage-bde.wsf) Lý hoàn toàn xác đáng BitLocker Vista hỗ trợ mã hóa cho OS Volume (thường ổ C:) Tuy với tiện ích dịng lệnh, bạn mã hóa ổ liệu này, tính hỗ trợ Longhorn Server Tiện ích dịng lệnh sử dụng để mã hóa máy tính khách môi trường Active Directory, vấn đề giới thiệu sâu phần Các ổ mã hóa • Từ Vista Start Menu, bạn tìm đến shortcut Command Prompt Kích chuột phải vào biểu tượng bạn chọn Run as administrator • Nhập vào dịng lệnh đây: cscript manage-bde.wsf –on /? • Điều hiển thị chứng thực tiền khởi động khác tùy chọn khơi phục mà bạn có với BitLocker Trong báo giới thiệu cho bạn cách mã hóa ổ với hỗ trợ TPM, ổ khơng có hỗ trợ TPM cuối ổ khác ổ C: Mã hóa BitLocker với hỗ trợ TPM Từ Menu Start Vista, bạn tìm đến shortcut Command Prompt Kích chuột phải vào biểu tượng chọn Run as administrator Nhập vào lệnh sau: cscript manage-bde.wsf –on –recoverypassword C: Hình Theo hướng dẫn hình để bắt đầu trình mã hóa (xem hình 4) Mã hóa BitLocker khơng có hỗ trợ TPM Từ Menu Start Vista, bạn tìm đến shortcut Command Prompt Kích chuột phải vào biểu tượng chọn Run as administrator Nhập vào lệnh sau: cscript manage-bde.wsf –on –startupkey :-recoverypassword –recoverykey : ký tự ổ đĩa gán cho USB sử dụng thay cho chip TPM Nhớ phải có dấu “:” kèm với ký tự ổ ổ cứng, USB ổ mạng Tiếp đó, bạn phải nhớ đến dấu “:” kèm với ký tự ổ Mã hóa BitLocker ổ liệu Thủ tục tương tự ví dụ trước Hãy thay ký tự ổ đĩa ổ mà bạn muốn mã hóa Tính gặp số khó khăn bạn khơng cẩn thận • Đầu tiên làm việc bạn mã hóa OS Volume với tiện ích dịng lệnh có khả quản lý • Rắc rối thứ hai sau ổ liệu mã hóa, bạn truy cập vào liệu khởi động lại máy tính trừ bạn tự động mở khóa ổ liệu Đây cách bạn tránh vấn đề này: Chúng ta thừa nhận bạn mã hóa Data Volume ví dụ tham chiếu bạn Trước khởi động lại máy tính, bạn nhập vào lệnh sau: cscript manage-bde.wsf –autounlock –enable : ký tự ổ đĩa gán cho Data Volume Nhớ phải có dấu “:” kèm với ký tự ổ Lệnh tạo bảo vệ cho khóa mở rộng ổ liệu lưu khóa mật ổ hệ điều hành (thường ổ C:), ổ mà mã hóa từ trước Theo cách này, khóa mật cho ổ liệu bảo vệ khóa mật cho ổ hệ điều hành, nhiên tự động tải suốt giai đoạn khởi động Kết luận Trong giới thiệu cho bạn cách khác để kích hoạt BitLocker Vista so với hướng dẫn khác Microsoft Chúng muốn giới thiệu BitLocker có khả nhiều bạn thực từ GUI Trong phần loạt này, xem xét sâu cách cấu hình quản lý BitLocker từ môi trường Active Directory tập trung cách quản lý tốt BitLocker mặt khôi phục khóa ... để kích hoạt BitLocker Vista so với hướng dẫn khác Microsoft Chúng tơi muốn giới thiệu BitLocker có khả nhiều bạn thực từ GUI Trong phần loạt này, xem xét sâu cách cấu hình quản lý BitLocker từ... vào lệnh sau: cscript manage-bde.wsf –on –recoverypassword C: Hình Theo hướng dẫn hình để bắt đầu q trình mã hóa (xem hình 4) Mã hóa BitLocker khơng có hỗ trợ TPM Từ Menu Start Vista, bạn tìm đến... Tất liệu ổ hệ điều hành bảo vệ BitLocker Bạn cần phải ý BitLocker có hỗ trợ Windows Vista Enterprise, Windows Vista Ultimate Windows “Longhorn” Server Bây cấu hình BitLocker Chuẩn bị BIOS hệ thống