Martin Kiaer
Trong phần 1 của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách cấu hình BitLocker và một số vấn đề phức tạp cần phải biết trước khi bắt đầu sử dụng tính năng này. Trong phần hai này, chúng tôi sẽ tiếp tục giới thiệu về BitLocker từ quan điểm Active Directory và xem xét đến cấu hình TPM và BitLocker bằng Group Policy và cách thực hiện khôi phục khóa.
Những vấn đề còn tồn tại
Chúng tôi cho rằng mình cần phải nói BitLocker trong môi trường Active Directory có thể sẽ là kịch bản được sử dụng nhiều nhất. Bằng việc sử dụng BitLocker trong môi trường Active Directory, bạn có thể có được tất cả các tính năng bảo mật từ BitLocker kết hợp với tất cả các vấn đề về bảo mật, khả năng có sẵn và khả năng mở rộng với Active Directory.
Tuy nhiên trước khi bắt đầu, bạn hãy quan tâm đến một số vấn đề vẫn còn tồn tại sau:
1. Microsoft cho đến tận giờ phút này vẫn chưa phát hành BitLocker Deployment Kit của họ, vì vậy chúng tôi sẽ không thể cung cấp cho bạn các liên kết chính thức hoặc copy các kịch bản được sử dụng trong bài báo.
2. Một mặt nữa chúng tôi chưa thấy được hữu hình triển khai BitLocker chính thức sẽ sớm được phát hành, nhưng các kịch bản mà chúng tôi đang sử dụng được cung cấp bởi Microsoft. Mặc dù vậy bạn cũng cần phải chú ý rằng các tên và số kịch bản được đưa ra trong bài này có thể sẽ thay đổi khi BitLocker Deployment Kit chính thức được phát hành.
3. Ngay sau khi Microsoft phát hành các kịch bản và bài viết khác nhau có để cập đến bên trong bài này, thì bài sẽ được cập nhật với các liên kết tương ứng để phù hợp với tên file của nó. Chúng tôi sẽ cho bạn biết khi nào bài được cập nhật.
Các điều kiện quyết định
Trước khi bạn bắt đầu, chúng ta hãy xem qua một số điều kiện cần phải thỏa mãn để cho phép bạn có thể kiểm soát BitLocker từ Active Directory.
- Bạn cần phải mở rộng lược đồ trong Active Directory
- Nếu bạn muốn kiểm soát thông tin khôi phục TPM từ Active Directory thì bạn cần thay đổi điều khoản trên đối tượng lớp Computer trong Active Directory.
- Các mở rộng của lược đồ BitLocker Active Directory chỉ được hỗ trợ trên các bộ điều khiển miền đang chạy Windows Server 2003 SP1 hoặc phiên bản mới hơn, Windows Server 2003 R2 và Windows Server “Longhorn”
- BitLocker chỉ được hỗ trợ để chạy trên Windows Vista Enterprise, Windows Vista Ultimate và Windows “Longhorn” Server
Lưu ý: Trong khi tác giả đang viết bài này, Service Pack 2 cho Windows Server 2003 đã có bản RTM. SP2 sẽ không có các nâng cấp lược đồ của BitLocker. Bạn sẽ có thể chạy kịch bản mở rộng lược đồ của BitLocker đã được giải thích trong bài này sau khi cài đặt SP2 trên setup của Windows Server 2003
Các kịch bản cần thiết
Đây là lúc chúng ta bắt đầu, hãu xem xét các file yêu cầu để làm cho BitLocker tích hợp với một Active Directory trên Windows Server 2003.
Các file dưới đây được dùng để Active Directory của Windows Server 2003 hỗ trợ cho BitLocker.
- BitLockerTPMSchemaExtension.ldf
- Add-TPMSelfWriteACE.vbs
Sử dụng các file bên dưới để giúp bạn thẩm định cấu hình BitLocker trong Active Directory. Chúng tôi sẽ sử dụng một trong các file đó trong ví dụ sau của bài này
- List-ACEs.vbs
- Get-BitLockerRecoveryInfo.vbs
- Get-TPMOwnerInfo.vbs
Mở rộng lược đồ trong Active Directory
Sau khi thẩm định các điều kiện tiên quyết và thẩm định các kịch bản, thì là lúc bạn đã sẵn sàng cho việc mở rộng Active Directory để có thể lưu các thông tin khôi phục TPM và BitLocker trong Active Directory.
Cách làm việc của nó là: thông tin khôi phục của BitLocker được lưu trong một đối tượng con của Computer trong Active Directory, điều đó có nghĩa là đối tượng Computer phục vụ như một container cho một hoặc nhiều đối tượng khôi phục BitLocker được kết hợp với một đối tượng Computer cụ thể nào đó. Lý do tại sao chúng tôi nói là một hoặc nhiều đối tượng khôi phục BitLocker là vì nó có thể có nhiều khóa khôi phục được kết hợp với một máy tính sử dụng BitLocker, ví dụ nếu bạn đã mã hóa nhiều ấn bản trên cùng một máy tính.
Tên của đối tượng khôi phục BitLocker có một chiều dài cố định là 63 ký tự, gồm có các thông tin sau:
<Object Creation Date and Time><Recovery GUID>
Bạn cần biết các thông tin trên, nếu bạn có nhiều khóa khôi phục được kết hợp với một máy tính nào đó và quyết định xóa một số khóa khôi phục cho mục đích bảo mật.
Tuy nhiên vấn đề không dừng lại ở đây. Có nhiều thông tin được lưu với đối tượng Computer. Nếu bạn là người may mắn với máy tính có chip TPM (Trusted Platform module) version 1.2, thì bạn có thể lưu các thông tin khôi phục TPM trong Active Directory. Mặc dù vậy bạn cũng cần phải chú ý rằng chỉ có một mật khẩu của chính TPM là có thể được gán cho máy tính. Khi TPM được cài đặt hoặc khi bạn thay đổi mật khẩu TPM thì nó sẽ được lưu như một thuộc tính của cùng đối tượng Compurter bởi BitLocker. Bây giờ chúng ta hãy bắt đầu bằng việc mở rộng lược đồ với BitLocker và các đối tượng và thuộc tính TPM.
1. Bảo đảm rằng bạn đã đăng nhập vào bộ điều khiển miền với tư cách là một người dùng, một phần của nhóm “Schema Admins” trong Active Directory. (Thông thường tài khoản quản trị viên là một thành viên của nhóm này mặc định).
2. Bảo đảm rằng bạn có thể kết nối đến bộ điều khiển miền trong Active Directory của bạn để giữ Schema Master FSMO role
3. Với bài này, chúng tôi sẽ sử dụng miền Active Directory có tên gọi là domain.local. Với các thành phần đó, chúng ta chạy lệnh sau (xem hình 1):
ldifde -i -v -f BitLockerTPMSchemaExtension.ldf -c "DC=X" "dc=domain,dc=local" -k -j .
Sử dụng tham số -k để chặn thông báo lỗi "Object Already Exists" nếu các phần của lược đồ tồn tại.
Sử dụng các tham số -j. (dấu ‘.’ là một phần của tham số này) để lưu file bản ghi mở rộng đối với thư mục đang làm việc hiện hành, trong trường hợp của chúng ta là C:\LDIF.LOG
Hình 1
4. Bảo đảm rằng tất cả các mở rộng lược đồ phải được áp dụng bởi việc kiểm tra file bản ghi LDIF trước khi tiếp tục.
5. Việc tiếp theo cần thực hiện là thiết lập các điều khoản trên BitLocker và các đối tượng lược đồ thông tin khôi phục TPM. Bước này sẽ thêm một đầu vào điều khiển truy cập Access Control Entry (ACE) để làm cho nó có thể backup các thông tin khôi phục TPM cho Active Directory. Chạy lệnh sau (xem hình 2):
cscript Add-TPMSelfWriteACE.vbs
Hình 2
Đó chính là nó. Bây giờ bạn đã mở rộng được lược đồ trong Active Directory và chuẩn bị nó cho BitLocker và hỗ trợ TPM.
Lúc này bạn đã sẵn sàng để có thể thay đổi các thiết lập cần thiết của Group Policy cho cả BitLocker và chip TPM (nếu máy tính của bạn hỗ trợ tính năng này).
1. Từ Vista, bạn đăng nhập với một tài khoản miền có quyền thay đổi Group Policy
2. Tại cửa sổ lệnh Vista Start | Search, bạn đánh vào đó GPMC.MSC và nhấn phím Enter
3. Có một số thiết lập Group Policy mà bạn có thể cấu hình như được hiển thị trong hình 3, tuy nhiên có một thiết lập mà bạn muốn cấu hình là thiết lập kích hoạt backup của thông tin khôi phục BitLocker cho Active Directory.
- Tìm đến Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption
- Kích đúp vào Turn on BitLocker backup to Active Directory Domain Services
- Chọn Enabled
Hình 3
4. Nếu các máy tính khách của bạn hỗ trợ chip TPM, thì bạn sẽ kích hoạt thiết lập Group Policy để cho phép các máy khách có thể backup thông tin khôi phục TPM cho Active Directory (hình 4):
- Tìm đến Computer Configuration > Administrative Templates > System > Trusted Platform Module Services
- Kích đúp Turn on TPM backup to Active Directory Domain Services
- Chọn Enabled
Hình 4
Thẩm định khôi phục khóa trong Active Directory
Phần cuối cùng bài này sẽ giới thiệu cách thực hiện một mã hóa tập trung, bảo đảm đưa backup của khóa khôi phục BitLocker được sử dụng bởi máy khách Vista, backup được lưu trong Active Directory. Trong ví dụ, chúng tôi sử dụng tiện ích dòng lệnh BitLocker (manage-bde.wsf).
Bạn cần phải chú ý rằng, nếu muốn sử dụng giao diện GUI khi cấu hình BitLocker và chip TPM, thì khôi phục khóa (key) sẽ vẫn được hỗ trợ. Miễn là máy tính sử dụng Vista là một thành viên của miền có đủ các yêu cầu tiên quyết được đề cập đến trong phần trước và người dùng đang thực hiện công việc là quản trị viên miền, thì khôi phục key sẽ xảy ra một cách lặng lẽ trong background mà không cần đến sự can thiệp của người dùng.
Mã hóa BitLocker với sự hỗ trợ của TPM
1. Từ Vista Start Menu, tìm shortcut của Command Prompt. Kích chuột phải vào biểu tượng đó và chọn Run as administrator
2. Nhập vào lệnh sau:
cscript manage-bde.wsf –on –recoverypassword C:
3. Theo các hướng dẫn trên màn hình để bắt đầu quá trình mã hóa (xem hình 5)
Hình 5
4. Khi bộ đĩa đang được mã hóa, chúng ta có thể kiểm tra xem key khôi phục BitLocker đã được backup hay chưa bằng cách đánh vào lệnh dưới đây:
cscript GET-BitLockerRecoveryInfo.VBS
Lưu ý rằng khôi phục được liệt kê trong hình 6 bên dưới tương xứng với key khôi phục được tạo ra trong bước trước và được liệt kê trong hình 5.
Hình 6
Kết luận
Trong loạt bài gồm hai phần này, chúng tôi đã cố gắng đi xa hơn những bài đã có trước và giới thiệu cho bạn các phương pháp khác nhau về cách cấu hình tốt nhất cho BitLocker. Hai bài này sẽ không thể bao trùm được tất cả các lĩnh vực. Điều này thật đơn giản vì có quá nhiều thứ mà không thể nói hết. Tuy nhiên chúng tôi cũng đã cố gắng truyền cảm hứng để bạn có đủ thông tin có thể tiếp tục nghiên cứu và khai thác tất cả các tính năng khác nhau trong BitLocker. BitLocker cũng không phải là một công cụ mã hóa ổ cứng hoàn hảo. Nó cũng có nhiều thiếu sót như sự chứng thực tiền khởi động yếu và thiếu sự hỗ trợ cho chứng thực đa hệ số (bên cạnh sự hỗ trợ TPM và key USB chuẩn) và BitLocker cũng khá cồng kềnh trong việc cấu hình. Nếu bạn muốn hỗ trợ nhiều hệ số tốt hơn, hỗ trợ Vista và thậm chí mã hóa toàn bộ máy chủ thì có thể chọn SecureDoc của WinMagic, phần mềm này sẽ cho phép bạn có thể thực hiện nhiệm vụ này một cách dễ dàng hơn. Tuy nhiên BitLocker vẫn là một bước chuyển lớn khi so với những gì chúng ta thấy từ Microsoft và nó sẽ thú vị với phiên bản kế tiếp được dự kiến sẽ phát hành vào cuối năm.