Đang tải... (xem toàn văn)
PHẦN 1. SỬ DỤNG BITLOCKER ĐỂ MÃ HÓA DỮ LIỆU TRÊN WINDOWS 81.1 Giới thiệu về Bitlocker1.1.1 BitLocker là gì?BitLocker là chương trình mã hóa độc quyền, dễ sử dụng của Microsoft dành cho Windows có thể mã hóa toàn bộ ổ đĩa của bạn cũng như giúp bảo vệ chống lại những thay đổi trái phép vào hệ thống, chẳng hạn như phần mềm độc hại cấp firmware.1.1.2 Ai có thể sử dụng BitLocker?BitLocker có sẵn cho bất cứ ai sở hữu máy tính chạy Windows Vista hoặc Windows 7 Ultimate, Windows 7 Enterprise, Windows 8.1 Pro hoặc Windows 8.1 Enterprise, thậm chí là Windows 10. 1.1.3 Yêu cầu về hệ thốngĐể chạy BitLocker, bạn sẽ cần có một máy tính Windows chạy một trong những hệ điều hành nêu trên, cộng với một máy tính với ít nhất 2 phân vùng và một Trusted Platform Module (TPM).TPM là một con chip đặc biệt tiến hành kiểm tra xác thực trên phần cứng, phần mềm và firmware. Nếu TPM phát hiện một sự thay đổi trái phép, máy tính sẽ khởi động trong một chế độ hạn chế để ngăn chặn những kẻ tấn công tiềm năng.Nếu bạn không biết liệu máy tính của mình có TPM hay nhiều phân vùng hay không, đừng lo lắng. BitLocker sẽ tiến hành kiểm tra hệ thống khi bạn khởi động nó để xem liệu máy tính có thể sử dụng BitLocker hay không.1.1.4 Ai nên sử dụng BitLocker?BitLocker là một chương trình mã nguồn đóng. Đó là vấn đề đối với những người có đầu óc cực kỳ riêng tư, vì người dùng không có cách nào để biết liệu Microsoft có bị ép buộc đưa một số loại backdoor vào chương trình này dưới sức ép từ chính phủ Mỹ hay không. Microsoft cho biết không hề có backdoor, nhưng làm thế nào chúng ta có thể chắc chắn được? Chúng ta không thể. Chắc chắn rằng nếu BitLocker là mã nguồn mở, hầu hết chúng ta không có khả năng đọc mã để xác định xem có backdoor hay không. Nhưng sẽ có ai đó có thể, nghĩa là sẽ có cơ hội cao hơn nhiều để phát hiện ra lỗi của chương trình.Vì vậy, với bản chất mã nguồn đóng của BitLocker trong tâm trí, chúng ta sẽkhông thể dựa vào chương trình mã hóa này để bảo vệ dữ liệu của bạn chống lại hành động của chính phủ. Nhưng nếu bạn đang tìm cách để bảo vệ dữ liệu trong trường hợp máy tính bị mất cắp hoặc các tình huống mà bọn tội phạm bình thường và các loại phi chính phủ có thể gây rối với phần cứng của bạn, BitLocker sẽ có ích
HỌC VIỆN KỸ THUẬT MẬT Mà KHOA AN TỒN THƠNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ MODULE THỰC HÀNH Mà HÓA DỮ LIỆU TRÊN HỆ ĐIỀU HÀNH WINDOWS Người thực : Đồng Thị Thùy Linh HÀ NỘI, 2015 THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH Tên thực hành: Mã hóa liệu hệ điều hành Windows Số lượng sinh viên thực hiện: 01 Địa điểm thực hành: phòng máy Yêu cầu: Mỗi sinh viên bố trí 01 máy tính với cấu hình tối thiểu: CPU 2.0 GHz, RAM 4GB, HDD 50GB Yêu cầu phần mềm máy: Hệ điều hành Windows Vmware Workstation 9.0 trở lên Công cụ thực hành: Máy ảo Vmware: Windows Thiết bị USB ( sinh viên tự trang bị ) Yêu cầu khác : máy chiếu, bảng viết, bút/phấn viết bảng CHUẨN BỊ BÀI THỰC HÀNH Đối với giảng viên: Trước buổi học, giảng viên (người hướng dẫn thực hành) cần kiểm tra phù hợp điều kiện thực tế phòng thực hành với yêu cầu thực hành Đối với sinh viên: Trước bắt đầu thực hành, cần tạo máy ảo để sử dụng Đồng thời xác định vị trí lưu trữ cơng cụ yêu cầu PHẦN SỬ DỤNG BITLOCKER ĐỂ Mà HÓA DỮ LIỆU TRÊN WINDOWS 1.1 Giới thiệu Bitlocker 1.1.1 BitLocker gì? BitLocker chương trình mã hóa độc quyền, dễ sử dụng Microsoft dành cho Windows mã hóa tồn ổ đĩa bạn giúp bảo vệ chống lại thay đổi trái phép vào hệ thống, chẳng hạn phần mềm độc hại cấp firmware 1.1.2 Ai sử dụng BitLocker? BitLocker có sẵn cho sở hữu máy tính chạy Windows Vista Windows Ultimate, Windows Enterprise, Windows 8.1 Pro Windows 8.1 Enterprise, chí Windows 10 1.1.3 Yêu cầu hệ thống Để chạy BitLocker, bạn cần có máy tính Windows chạy hệ điều hành nêu trên, cộng với máy tính với phân vùng Trusted Platform Module (TPM) TPM chip đặc biệt tiến hành kiểm tra xác thực phần cứng, phần mềm firmware Nếu TPM phát thay đổi trái phép, máy tính khởi động chế độ hạn chế để ngăn chặn kẻ công tiềm Nếu bạn khơng biết liệu máy tính có TPM hay nhiều phân vùng hay khơng, đừng lo lắng BitLocker tiến hành kiểm tra hệ thống bạn khởi động để xem liệu máy tính sử dụng BitLocker hay khơng 1.1.4 Ai nên sử dụng BitLocker? BitLocker chương trình mã nguồn đóng Đó vấn đề người có đầu óc riêng tư, người dùng khơng có cách để biết liệu Microsoft có bị ép buộc đưa số loại backdoor vào chương trình sức ép từ phủ Mỹ hay khơng Microsoft cho biết khơng có backdoor, làm chắn được? Chúng ta khơng thể Chắc chắn BitLocker mã nguồn mở, hầu hết khơng có khả đọc mã để xác định xem có backdoor hay khơng Nhưng có có thể, nghĩa có hội cao nhiều để phát lỗi chương trình Vì vậy, với chất mã nguồn đóng BitLocker tâm trí, khơng thể dựa vào chương trình mã hóa để bảo vệ liệu bạn chống lại hành động phủ Nhưng bạn tìm cách để bảo vệ liệu trường hợp máy tính bị cắp tình mà bọn tội phạm bình thường loại phi phủ gây rối với phần cứng bạn, BitLocker có ích 1.2 Thực hành 1.2.1 Chuẩn bị - Máy ảo chạy hệ điều hành Windows - Thiết bị USB - Tạo tài khoản Microsoft đăng nhập window 1.2.2 Các bước thực hành Trước tiên chọn vào phân vùng (hay USB) mà muốn khóa, sau chọn chuột phải chọn “Turn on BitLocker” để bật tính mã hóa liệu cho ổ đĩa USB mà bạn chọn Tiếp theo, cửa sổ “Bitlocker Drive Encryption” cần lựa chọn phương thức để giải mã ổ đĩa thiết bị USB Windows có hỗ trợ phương thức sử dụng mật sử dụng smart card Trong thực hành chọn phương pháp sử dụng mật cách nhấn chuột vào ô “ use a password to unclock the drive” sau nhập mật vào nhấn “Next” Lúc hình bạn nhận thông báo lưu Recovery key để trường hợp bạn quên mật dùng key để truy xuất vào ổ mã hóa Bạn lưu trữ mật tài khoản Microsoft lưu trữ tập tin in khóa khơi phục Trong thực hành chọn phương pháp lưu Recovery Key tài khoản Microsoft Tiếp theo bạn chọn mức độ mã hóa Nếu chọn Used Disk space Only, q trình mã hóa nhanh liệu ta thêm vào mã hóa Chúng ta nên chọn Encrypt Entire Drive nhiều thời gian Ở tùy chọn này, kể liệu xóa có khả khơi phục mã hóa Bây giờ, ta bấm vào "Start Encrypt" để tiến trình mã hóa bắt đầu Thời gian mã hóa phụ thuộc vào hệ thống bạn, số lượng liệu, kích thước ổ đĩa Sau ổ lưu trữ bạn mã hóa, bạn mở máy tính lên bạn nhìn thấy biểu tượng hình khóa Khi thiết bị USB cắm vào máy khác tồn thiết bị mã hóa, bảo vệ toàn liệu bên khỏi người truy nhập trái phép Để truy cập liệu bên người dùng phải nhập mật thiết lập trước đó: PHẦN SỬ DỤNG EFS ĐỂ Mà HÓA FILE VÀ THƯ MỤC TRÊN WINDOWS 2.1 Giới thiệu EFS 2.1.1 EFS ? EFS viết tắt Encrypting File System EFS tính có sẵn Windows 2000/2003/2008 dịng server WIndows 2000/XP/Vista dòng máy trạm EFS sử dụng lớp bảo vệ liệu bên lớp bảo vệ NTFS cho truy xuất nội NTFS + File Sharing Permission cho truy cập qua phần chia sẻ hay NTFS + IIS Web Permission cho truy cập qua web 2.1.2 EFS kiểm soát việc truy cập liệu ? EFS chất sử dụng chứng điện tử (digital certificate) tảng khóa cơng khai PKI cung cấp để kiểm sốt việc truy cập vào tập tin/ thư mục EFS bảo vệ EFS sử dụng thuật toán DESX/3DES/AES với số lượng bit lên đến 256 bit để bảo vệ mã cá nhân (Private Key) Hiện có số cơng cụ tự nhận bẻ khóa EFS chất ko pải giải mã mã khóa cá nhân mà dùng cách cơng Brutal Force đề quét chuỗi khóa Private Key Tuy nhiên bạn cần máy tính siêu mạnh để thực việc bẻ khóa tài liệu bảo vệ chế độ 256 bit 2.1.3 EFS mã hóa tài liệu ? EFS Component Driver kiểm tra tính tương tác với NTFS EFS Driver tìm kiếm chữ kí Private Key người mã hóa tài liệu Local Cert Store Nếu khơng tìm thấy EFS Driver đăng kí để lấy chữ kí private key cho người dùng từ CA Nếu EFS Driver tiếp tục khơng kết nối với CA tự tạo chứng (self-signing) EFS tạo khóa FEK mã hóa nội dung tài liệu với thuật tốn DESX/3DES/AES EFS tiếp tục dùng khóa cơng khai người dùng đễ mã hóa tiếp khóa FEK với thuật tốn RSA EFS lưu khóa FEK mã hóa Header DDF tập tin mã hóa Nếu quản trị cấu hình DRA khóa agent lưu DDF Khi người dùng truy cập tập tin mã hóa pải có sẵn chứng private key xem tập tin DRA phải import Private key mở mã hóa tài liệu bảo vệ EFS 2.1.4 EFS sử dụng tình an ninh ? - Bảo vệ tài liệu máy tính cá nhân: Máy tính cá nhân bị cắp hacker ko thể bẻ khóa mật buộc pải sử dụng công cụ để reset mật tài khoản Nếu dùng NTFS hacker hồn tồn truy cập liệu Với EFS kiểm tra chữ kí điện tử password bị thay đổi khóa quyền truy cập Máy tính cá nhân bị cắp hacker sử dụng OS thứ để truy cập liệu WinPE/Linux chạy CD đơn giản xóa OS cài lại OS khác Nếu dùng NTFS hacker hồn tồn truy cập liệu Với tài liệu bảo vệ EFS bảo vệ triệt để Nhiều tài khoản quản trị máy tính việc bảo vệ hữu hiệu EFS Mọi người biết NTFS ko thể ngăn chặn user quản trị truy cập trái phép thông qua việc đoạt quyền Owner tập tin/thư mục Note: EFS công cụ để bảo vệ liệu máy bị cắp Windows 2000/2003 Windows 2000/XP Windows 2008/Vista ta sử dụng kết hợp EFS BitLocker để protect HDD HĐH - Tăng tính an tồn mơi trường làm việc: Bảo vệ tài liệu cá nhân: mơi trường AD người dùng với tài khoản đăng nhập local (local logon) máy tính Forest ko bị GPO khóa đăng nhập máy Nên biện pháp EFS bảo vệ liệu rơi vào tay kẻ ác ý Bảo vệ môi trường làm việc nhóm: nhóm làm việc sử dụng EFS để đảm bảo tài liệu chia sẻ File Server an tồn khỏi mắt dịm ngó người dùng nguy hiểm chí Admin Bảo vệ tài liệu lưu offline máy: tính Offline cho phép người dùng lưu local nội dung data máy chủ file EFS cho phép mã hóa bảo vệ tài liệu Note: EFS ko thể mã hóa bảo vệ tài liệu chia sẻ qua hình thức http, Sharepoint, OCS, Email Note: Trên Windows Server 2008, EFS sử dụng kết hợp với Smart Card để tăng tính bảo an tối đa để bảo vệ xác thực việc truy cập liệu Khi chứng nhận Private Key người dùng lưu thẻ Smart Card 2.2 Thực hành 2.2.1 Chuẩn bị 2.2.2 Các bước thực Để mã hóa tập tin thư mục, bạn click vào biểu tượng “File Explorer” Taskbar Desktop để mở File Explorer Hoặc cách khác hình Start Screen, bạn nhập từ khóa Explorer vào khung Search chọn File Explorer Tiếp theo chọn file thư mục mà bạn muốn mã hóa Nhấn chuột phải vào file thư mục chọn “Properties” Trên hình xuất cửa sổ “Properties” Trong thẻ “General”, bạn click chọn “Advanced” mục “Attributes” Trên cửa sổ hộp thoại “Advanced Attributes”, bạn đánh tích vào mục “Encrypt contents to secure data” click chọn OK Click chọn tiếp “OK” để đóng cửa sổ hộp thoại Properties Nếu bạn mã hóa tập tin hộp thoại “Encryption Warning” xuất hiện, yêu cầu bạn lựa chọng việc mã hóa tập tin chọn, mã hóa thư mục mẹ (điều đảm bảo tập tin sau tạo thư mục mã hóa) Nếu bạn mã hóa thư mục hộp thoại “Confirm Attribute Changes” xuất yêu cầu bạn chọn lựa mã hóa thư mục hay mã hóa tất thư mục bên Tùy theo mục đích sử dụng để đưa tùy chọn thích hợp Chọn OK để hồn tất Lúc cửa sổ hộp thoại Properties đóng lại Tập tin thư mục mà bạn mã hóa hiển thị chữ màu xanh File Explorer Nếu bạn mã hóa tất thư mục tập tin bên trong, thư mục tập tin có màu xanh tương tự Ngồi khay hệ thống (Notification Area) Taskbar, bạn nhìn thấy cửa sổ popup hiển thị thơng báo nói cần lưu lại khóa hệ thống, đề phịng trường hợp bị hư hỏng Click vào cửa sổ popup để tiến hành thực lưu Lưu ý: Nếu không thấy cửa sổ popup thông báo xuất hiện, bạn click vào biểu tượng mũi tên khay hệ thống sau click vào biểu tượng Encrypting File System (mã hóa tập tin hệ thống ) Sau cửa sổ hộp thoại Encrypting File System xuất hiện, bạn click vào chọn Back up now (sao lưu bây giờ) Back up later (tiến hành lưu sau) Click chọn Next để tiếp tục tiến hành lưu Chấp nhận lựa chọn định dạng liệu, sau chọn Next để tiếp tục Nhập mật vào khung Password khung Confirm Password chọn Next để tiếp tục Trên giao diện File to Export, chọn Browse Tìm vị trí bạn muốn lưu trữ khóa mã hóa Bạn sử dụng USB ổ cứng gắn ngồi để dự phịng trường hợp xấu xảy Sau chọn Save Lúc hình xuất bảng tóm tắt tất tùy chọn Bạn xem qua, sau chọn Finish để hoàn tất ...THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH Tên thực hành: Mã hóa liệu hệ điều hành Windows Số lượng sinh viên thực hiện: 01 Địa điểm thực hành: phòng máy Yêu cầu: Mỗi sinh viên bố... Windows Vista Windows Ultimate, Windows Enterprise, Windows 8.1 Pro Windows 8.1 Enterprise, chí Windows 10 1.1.3 Yêu cầu hệ thống Để chạy BitLocker, bạn cần có máy tính Windows chạy hệ điều hành. .. EFS tạo khóa FEK mã hóa nội dung tài liệu với thuật toán DESX/3DES/AES EFS tiếp tục dùng khóa cơng khai người dùng đễ mã hóa tiếp khóa FEK với thuật tốn RSA EFS lưu khóa FEK mã hóa Header