Kích hoạt mã hóa BitLocker trên PC không hỗ trợ TPM

Quản trị mạng - Công cụ BitLocker của Microsoft cung cấp khả năng mã hóa tối đa giúp giảm thiểu những hiểm họa có thể xảy ra với dữ liệu, như bị thất lạc, đánh cắp hay khi bị mất máy tính.

Công cụ này được tích hợp trong phiên bản Enterprise và Ultimate của hai hệ điều hành mới nhất dành cho máy trạm của Microsoft là Windows Vista và Windows 7, và phiên bản dành cho máy chủ Windows Server 2008 và Windows Server 2008 R2. Tuy nhiên tính năng này yêu cầu hệ thống phải sử dụng loại chip TPM (Trusted Platforn Module) để có thể mã hóa ổ cứng.

Trong trường hợp phần cứng không tích hợp TPM chúng ta sẽ không sử dụng được BitLocker? Thông thường, khi kích hoạt tính năng này, chúng ta sẽ thấy một thông báo lỗi xuất hiện cho biết Trusted Platform Module không được tìm thấy hay chưa được kích hoạt trong BIOS, và chúng ta sẽ phải chạy tiện ích cài đặt hệ thống để kích hoạt các cài đặt cho TPM. Tuy nhiên, với những hệ thống không hỗ trợ TPM thì chúng ta sẽ không thể tìm thấy những cài đặt này.

Khi gặp phải tính huống này bạn không nên quá thất vọng vì thực ra chúng ta vẫn có thể kích hoạt BitLocker trên những hệ thống không hỗ trợ TPM.

Cấu hình một số cài đặt của Local Group Policy trên hệ thống không hỗ trợ TPM

Những gì chúng ta cần là thay đổi một số cài đặt trong Local Group Policy, một ổ USB và một lượng thời gian để thực hiện tiến trình mã hóa.

Giống như Group Policy trong Active Directory, Local Group Policy cho phép người dùng thay đổi các cài đặt trên toàn hệ thống hay các cài đặt của một tài khoản nào đó ngay trên PC.

Trước tiên, nhập Group Policy vào hộp Search rồi nhấn Enter. Sau đó khởi chạy Local Group Policy Editor từ vùng kết quả.

Hình 1: Local Group Policy Editor của Windows 7.
Hình 1: Local Group Policy Editor của Windows 7.

Để xác định các cài đặt của BitLocker, truy cập vào đường dẫn Computer Configuration | Administrative Templates |Windows Components |Bit-Locker Drive Encryption | Operating System Drives.

Sau khi lựa chọn thư mục Operating System Drives trong danh sách thư mục, click đúp vào chính sách cài đặt có tên Require Additional Authentication at Startup (Yêu cầu thẩm định quyền bổ sung khi khởi động). Cửa sổ thuộc tính của chính sách này được hiển thị trong hình 2.

Hình 2: Những thuộc tính của chính sách cài đặt Require Additional Authentication at Startup.
Hình 2: Những thuộc tính của chính sách cài đặt Require Additional Authentication at Startup.

Trên trang Properties, lựa chọn tùy chọn Enabled để kích hoạt chính sách này sau đó lựa chọn hộp chọn trong vùng Options có tên Allow BitLocker without a Compatible TPM (Cho phép BitLocker không cần một TPM tương thích). Khi đó chúng ta sẽ phải sử dụng một ổ USB để lưu trữ BitLocker Key.

Sau khi đã lựa chọn hộp chọn này, một số tùy chọn dạng danh sách thả xuống sẽ xuất hiện do những tùy chọn này đều liên quan tới các module TPM. Chúng ta có thể bỏ qua chúng khi cấu hình cài đặt này.

Sau khi cấu hình chính sách này cho phép thẩm định quyền không hỗ trợ TPM, nhấn OK để lưu và đóng chính sách này.

Lưu ý:

Khi cấu hình các chính sách trong Windows 7 và Windows Server 2008, hộp thoại này sẽ bổ sung thêm một vùng trống cho phép viết ghi chú, sau đó ghi chú này sẽ được lưu lại với chính sách đó. Khi đó chúng ta nên bổ sung ngày vào hộp Comments trong trường hợp cần theo dõi các thay đổi sau đó.

Kích hoạt BitLocker

Các cài đặt của chính sách được nhắc đến ở trên là một phần trong tiến trình kích hoạt BitLocker vận hành trên hệ thống không hỗ trợ chip TPM. Thực hiện các thao tác sau để kích hoạt BitLocker:

1. Mở trình quản lý cài đặt mã hóa của BitLocker, Encryption Settings Manager, bằng cách tìm kiếm BitLocker qua hộp Search trong menu Start, hoặc truy cập vào vùng System and Security trong Control Panel.

2. Khi công cụ này mở ra, chúng ta sẽ thấy mọi ổ đĩa hiện có trên hệ thống.

3. Click vào nút Turn On BitLocker.

Khi đó chúng ta sẽ yêu cầu cấu hình các tùy chọn của BitLocker dựa trên những cài đặt mà chúng ta đã thực hiện trong Local Group Policy trước đó. Trong trường hợp này, chúng ta cần phải sử dụng một ổ USB để lưu trữ key của BitLocker. Trong hình 3, BitLocker wizard yêu cầu ổ USB nơi key thẩm định sẽ được lưu trữ. Kết nối ổ USB vào hệ thống rồi nhấn Nẽt để lưu key này.

Hình 3: Lưu key khởi động ra ổ USB.
Hình 3: Lưu key khởi động ra ổ USB.

Sau khi nhấn Next, key của BitLocker sẽ được lưu ra ổ USB, và wizard này sẽ yêu cầu chúng ta tạo một key khôi phục đề phòng trường hợp key xác thực bị thất lạc.

Lưu ý:

Chúng ta không nên lưu key khôi phục cho ổ mã hóa trên ổ mã hóa này bởi vì chúng ta sẽ không thể truy cập vào nó khi ổ USB chứa key thẩm định bị thất lạc.

Sau khi hoàn thành mọi thao tác với key, BitLocker sẽ yêu cầu chúng ta mã hóa ổ đĩa chứa hệ điều hành. Khi tiến trình này bắt đầu, chúng ta vẫn có thể tiếp tục sử dụng máy tính như thường lệ, tuy nhiên thời gian hoàn thành tiến trình này sẽ phụ thuộc vào kích thước của ổ đĩa (Thông thường, tiến trình này sẽ được hoàn thành sau vài giờ).

Sau khi tiến trình đã hoàn tất, chúng ta sẽ phải khởi động lại hệ thống để bắt đầu sử dụng ổ đĩa đã được mã hóa, sau khi hệ thống khởi động sau, chúng ta sẽ phải sử dụng key thẩm định quyền để truy cập vào hệ thống. Tiến trình này sẽ hoạt động như khi hệ thống được hỗ trợ chip TPM ngoại trừ việc chúng ta cần phải kết nối ổ USB vào máy tính để khởi động.

BitLocker đặc biệt hữu dụng với máy tính xách tay vì chúng có nguy cơ bị thất lạc hay đánh cắp cao nhất. Khi sử dụng tính năng này cùng với một key mạnh và một file backup dữ liệu, chúng ta có thể đảm bảo rằng mọi dữ liệu sẽ được bảo mật.

Thứ Ba, 25/05/2021 10:01
4,45 👨 19.967
0 Bình luận
Sắp xếp theo
    ❖ Giải pháp bảo mật