Martin Kiaer
Hệ điều hành mới của Microsoft gần đây - Windows Vista - được tích hợp rất nhiều tính năng bảo mật mới. Một trong những tính năng bảo mật thú vị nhất của Windows Vista đó là công cụ mã hóa ổ BitLocker. BitLocker là một công cụ mã hóa ổ hoàn chỉnh, được sử dụng để hỗ trợ bảo vệ và các phương pháp chứng thực. Người dùng và kinh nghiệm hỗ trợ có thể là một sự may mắn được trộn lẫn, tuy vậy vẫn phụ thuộc vào phương pháp chứng thực nào và sự bảo vệ nào bạn chọn. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn từng bước về cách cài đặt và cấu hình BitLocker trong Windows Vista.
Các yêu cầu phần cứng và phần mềm của BitLocker
Với BitLocker, bạn có hai cách khác nhau để bảo vệ khóa mật (a.k.a. Volume Encryption Key)
- Chip TPM
- Sử dụng một khóa rõ ràng, đơn giản cho phương pháp bảo vệ mật khẩu thông thường
Khóa mật được sử dụng để mã hóa một ổ, nhưng việc bảo vệ khóa mật cũng là một việc quan trọng. Nếu một người dùng nào đó có ác tâm xóa khóa mật hoặc nó bị xóa do tình cờ thì bạn tốt hơn hết nên sử dụng một cài đặt khôi phục khóa tốt (chúng tôi sẽ giới thiệu phần khôi phục chính một cách chi tiết hơn trong phần 2). Đứng về phía tích cực, việc xóa khóa mật là hoàn toàn có mục đích, trong một môi trường được kiểm soát, và là cách tốt nhất để chấm dứt hoặc phục hồi nhanh chóng một máy tính mà không cần phải buồn phiền về những gì đã được cài đặt trước đó trên ổ đã mã hóa.
Trước khi cài đặt và sử dụng BitLocker, bạn nên bảo đảm được các yêu cầu dưới đây:
- Chip TPM (Trusted Platform module) phiên bản 1.2 hiện đã được phát hành (chỉ yêu cầu nếu bạn muốn sử dụng BitLocker với chip TPM).
- BIOS hệ thống là TCG (Trusted Computing Group) phiên bản 1.2 compliant (chỉ yêu cầu nếu bạn muốn sử dụng BitLocker với chip TPM).
- BIOS hệ thống hỗ trợ cho cả việc đọc và ghi các file nhỏ trên ổ flash USB trong môi trường chưa có hệ điều hành.
- Máy tính phải có tối thiểu hai ổ trước khi BitLocker có thể được sử dụng:
- Ổ đầu tiên là System Volume: Ổ này phải có định dạng NTFS và nên phân biệt với ổ hệ điều hành. Ổ hệ thống không được mã hóa, vì nó gồm có các file phần cứng cần thiết cho việc load Windows sau khi chứng thực tiền khởi động.
- Ổ thứ hai là Operating System (OS) Volume: Ổ này phải là định dạng NTFS và có hệ điều hành Vista và các file hỗ trợ của nó. Tất cả dữ liệu trên ổ hệ điều hành đều được bảo vệ bởi BitLocker
- Bạn cũng cần phải chú ý rằng BitLocker chỉ có và được hỗ trợ trong Windows Vista Enterprise, Windows Vista Ultimate và Windows “Longhorn” Server
Bây giờ chúng ta sẽ cấu hình BitLocker.
Chuẩn bị BIOS hệ thống
Chip TPM không yêu cầu ở đây nhưng sẽ tốt khi sử dụng BitLocker. Có một số lý do cho vấn đề đó:
- Vì Microsoft là một trong những nhà hỗ trợ lớn cho sáng kiến Trusted Computing Platform, chúng xây dựng lên rất nhiều tính năng của Windows Vista (gồm có cả BitLocker) xung quanh chip này, do vậy nó có thể được cấu hình từ một Active Directory dựa trên cơ sở hạ tầng đang sử dụng Group Policy.
- BitLocker rất yếu trong các tùy chọn chứng thực tiền khởi động, điều này có được qua so với các công cụ mã hóa ổ cứng của các nhóm thứ ba. Phương pháp tốt nhất và an toàn nhất khi sử dụng BitLocker là cấu hình cho phép TPM + pin code.
Chip TPM là một thẻ thông minh được tạo cùng với bo mạch chủ của máy tính. Chip TPM có khả năng thực hiện các chức năng mã hóa. Nó có thể tạo, lưu, quản lý các khóa và cũng thực hiện các hoạt động chữ ký số,… bảo vệ chính bản thân nó chống lại các tấn công.
Có thể bạn sẽ tin rằng sử dụng BitLocker cùng với chip TPM là một điều đáng làm. Tuy nhiên trước khi lợi dụng chip TPM trong Vista, bạn cần phải bảo đảm rằng nó là phiên bản 1.2 TCG compliant. Hầu hết các chip TPM mới hơn đều có thể là các vi chương trình được nâng cấp để chúng tương thích với Vista. Điều này cũng có nghĩa rằng BIOS của bạn cần phải được nâng cấp. Nếu không bảo đảm có được đầy đủ các yêu cầu TPM thì bạn thử vào website của các nhà sản xuất máy tính để có được nhiều thông tin chi tiết hơn.
Trên các hệ thống, tất cả những gì cần phải thực hiện là nhập vào BIOS setup và kích hoạt chip TPM (thường đã phân biệt trong BIOS với tư cách là một chip bảo mật). Nếu bạn đã thực hiện xong công việc này, hãy chuẩn bị chuyển sang phần tiếp theo.
Chuẩn bị về ổ cứng
Nếu bạn đã mua một máy tính vào thời điểm gần đây mà có hệ điều hành Vista đã được cài đặt trước thì cần chú ý rằng ổ cứng phải có ít nhất hai ổ khác nhau. Điều này có nghĩa rằng các ổ trên máy tính đã được chuẩn bị để hỗ trợ cho BitLocker, và bạn chuyển sang bước tiếp theo.
Nếu không có các ổ đã được chuẩn bị từ hãng phần cứng máy tính mà bạn mua máy hoặc đơn giản muốn cài đặt lại Vista và chuẩn bị nó cho BitLocker, thì bạn cần phải chuẩn bị các ổ được yêu cầu bởi BitLocker như đã được đề cập đến trong phần trên. Đó là những thứ cần phải thực hiện trong suốt quá trình cài đặt Vista.
Vấn đề này có thể được thực hiện một cách dễ dàng bằng sử dụng Windows PE 2.0, thành phần có trong Vista DVD của bạn và có một kịch bản nhỏ mà chúng ta sẽ đề cập đến trong bài này. Quá trình này dễ dàng hơn những gì bạn nghĩ. Đây là những gì cần thực hiện:
Copy kịch bản dưới vào một USB:
bde-part.txt (được sử dụng cho phân vùng ổ cứng):
select disk 0
clean
create partition primary size=1500
assign letter=S
active
format fs=ntfs quick
create partition primary
assign letter=C
format fs=ntfs quick
list volume
exit
Quan trọng: Lệnh “clean” trong kịch bản bde-part.txt sẽ xóa các phân vùng đang tồn tại của bạn trên ổ cứng 0 (ổ chính) gồm có phân vùng sửa/cài đặt có thể đã được cấu hình từ trước bởi nhà sản xuất máy tính, vì vậy sử dụng lệnh này bạn cần quan tâm hoặc bỏ qua nó trong kịch bản. Thay vì lệnh clean, bạn có thể sử dụng diskpart select volume= và sau đó là diskpart delete volume nếu muốn kiểm soát chặt chẽ hơn với ổ nào muốn xóa.
Khi bạn đã copy kịch bản trên vào USB, lúc này chúng ta sẽ sử dụng nó.
1. Đưa USB vào và bắt đầu khởi động máy tính từ Windows Vista product DVD
2. Trong màn hình cài đặt, bạn chọn ngôn ngữ cài đặt, thời gian và định dạng hiện hành, Keyboard layout, sau đó kích Next.
3. Trong màn hình cài đặt tiếp theo, kích System Recovery Options
4. Trong hộp thoại System Recovery Options, chọn keyboard layout của bạn sau đó kích Next.
5. Trong hộp thoại System Recovery Options tiếp theo, bỏ chọn tất các hệ điều hành trong đó. Để thực hiện điều đó, kích và vùng trống của danh sách hệ điều hành dưới toàn bộ danh sách liệt kê. Sau đó kích Next.
6. Trong hộp thoại System Recovery Options tiếp theo, kích Command Prompt (xem hình 1)
Hình 1
7. Đặt ký tự ổ đĩa đã được gán cho USB của bạn bằng cách nhập vào đó từng lệnh sau:
diskpart
list volumes
exitTạo một thông báo của ký tự ổ đĩa được gán cho USB
8. Chuẩn bị các ổ bằng cách nhập vào lệnh sau
diskpart /s :\bde-part.txt
nên được thay thế bằng ký tự ổ đĩa đã đặt cho USB của bạn.
Khi đã hoàn tất các bước ở trên, bạn nên thoát khỏi cửa sổ lệnh và quay trở về chương trình cài đặt và hoàn thiện quá trình này.
Chuẩn bị chip TPM
Trước khi bạn sử dụng chip TPM, chúng ta cần phải chuẩn bị nó. Điều này có nghĩa là cần bảo đảm những thứ sau:
- Bảo đảm đúng TPM driver được cài đặt trong Vista
- Khởi chạy chip TPM
- Chiếm quyền sở hữu của chip TPM
Lưu ý: Nếu bạn không muốn sử dụng chip TPM với BitLocker thì có thể bỏ qua phần này và chuyển sang phần tiếp theo.
Có một vài lý do tại sao Microsoft phụ thuộc vào chip TPM là phiên bản 1.2 TCG compliant, nhưng hai lý do chính, bên cạnh các tính năng bảo mật được thêm vào là khả năng tương thích và khả năng ổn định. Microsoft cung cấp vấn đề này thông qua dòng TPM Vista driver. Nguyên tắc hàng đầu là bạn chỉ sử dụng TPM driver của Microsoft nêu muốn sử dụng BitLocker với chip TPM.
Xác nhận rằng bạn đang sử dụng đúng driver cho chip TPM của mình (thừa nhận máy tính của bạn có hỗ trợ nó) bằng việc nhập vào Device Manager. Trong hạng mục có tên gọi Security Devices, bạn nên quan sát TPM driver của Microsoft có tên gọi là “Trusted Platform Module 1.2”. Nếu muốn thẩm định phiên bản của driver, đơn giản chỉ cần kích phải vào Trusted Platform Module 1.2 device và chọn Properties sau đó kích tab Driver, xem hình 2.
Hình 2
Nếu với lý do này hoặc lý do khác mà bạn đang sử dụng TPM driver khác thì có thể nâng cấp driver lên Microsoft TPM driver đã được đề cập trong phần trên, bạn cũng sẽ tìm thấy nó trong Vista DVD.
Khi đã thẩm định đúng TPM driver được load, thì đây là lúc phải khởi tạo chip TPM. Điều này có thể được thực hiện bằng hai cách khác nhau, một bằng sử dụng TPM MMC (đơn giản chỉ cần đánh tpm.mcs) hoặc cấu hình nó từ tiện ích dòng lệnh. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn cách này được thực hiện như thế nào từ tiện ích dòng lệnh manage-bde.wsf, một kịch bản dựa trên WMI.
1. Từ Menu Start của Vista, bạn tìm đến shortcut của Command Prompt, kích chuột phải vào biểu tượng và chọn Run as administrator
2. Nhập vào lệnh sau:
cscript manage-bde.wsf –tpm –takeownership -
cần phải được thay thế bằng chọn lựa mật khẩu của riêng bạn
3. Xử lý mật khẩu này như mật khẩu chủ TPM
4. Chip TPM hiện đã sẵn sàng cho sử dụng (xem hình 3)
Hình 3
Mã hóa các ổ
Vậy là chúng ta đã đi qua tất cả các bước chính cần thiết trước khi bắt đầu việc mã hóa các ổ. Một số bước đã được giải thích, có thể đã được chuẩn bị trực tiếp từ các nhà sản xuất máy tính hoặc không thể áp dụng nếu máy tính của bạn không có phiên bản 1.2 TPM compliant chip. Hãy chuyển tiếp và mã hóa một số dữ liệu. Điều này có thể được thực hiện theo hai cách khác nhau, một có thể bằng sử dụng BitLocker Control Panel GUI hoặc được thực hiện từ dòng lệnh. Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách thực hiện nó từ dòng lệnh vì một số lý do dưới đây:
1. BitLocker Control Panel GUI chỉ được hỗ trợ trên các máy tính có compliant TPM chip. Điều này có nghĩa là nếu bạn muốn lợi dụng BitLocker mà không sử dụng chip TPM, thì chỉ có lựa chọn tiện ích dòng lệnh (manage-bde.wsf)
2. Lý do nữa ở đây hoàn toàn xác đáng là BitLocker trong Vista chỉ hỗ trợ sự mã hóa cho OS Volume (thường là ổ C:). Tuy vậy với tiện ích dòng lệnh, bạn có thể mã hóa các ổ dữ liệu này, một tính năng chỉ được hỗ trợ trong Longhorn Server.
3. Tiện ích dòng lệnh này có thể được sử dụng để mã hóa các máy tính khách trong môi trường Active Directory, vấn đề này sẽ được giới thiệu sâu hơn trong phần 2 của bài này.
Các ổ được mã hóa như thế nào
- Từ Vista Start Menu, bạn tìm đến shortcut của Command Prompt . Kích chuột phải vào biểu tượng đó và bạn chọn Run as administrator
- Nhập vào dòng lệnh dưới đây:
cscript manage-bde.wsf –on /?
- Điều đó sẽ hiển thị chứng thực tiền khởi động khác và các tùy chọn khôi phục chính mà bạn có với BitLocker. Trong bài báo này chúng tôi sẽ giới thiệu cho các bạn cách mã hóa ổ với sự hỗ trợ của TPM, một ổ không có sự hỗ trợ của TPM và cuối cùng là một ổ khác là ổ C:
Mã hóa BitLocker với sự hỗ trợ của TPM
1. Từ Menu Start của Vista, bạn tìm đến shortcut của Command Prompt. Kích chuột phải vào biểu tượng đó và chọn Run as administrator.
2. Nhập vào lệnh sau:
cscript manage-bde.wsf –on –recoverypassword C:
Hình 4
3. Theo các hướng dẫn trên màn hình để bắt đầu quá trình mã hóa (xem hình 4)
Mã hóa BitLocker không có sự hỗ trợ của TPM
1. Từ Menu Start của Vista, bạn tìm đến shortcut của Command Prompt. Kích chuột phải vào biểu tượng đó và chọn Run as administrator.
2. Nhập vào lệnh sau:
cscript manage-bde.wsf –on –startupkey :-recoverypassword –recoverykey:
là một ký tự ổ đĩa đã gán cho USB được sử dụng thay cho chip TPM. Nhớ rằng phải có dấu “:” đi kèm với ký tự ổ.
có thể là ổ cứng, USB hoặc ổ mạng. Tiếp đó, bạn cũng phải nhớ đến dấu “:” đi kèm với ký tự ổ.
Mã hóa BitLocker của các ổ dữ liệu
Thủ tục cũng tương tự như các ví dụ trước. Hãy thay thế ký tự ổ đĩa bằng ổ mà bạn muốn mã hóa. Tính năng sẽ gặp một số khó khăn nếu bạn không cẩn thận.
- Đầu tiên đó là nó chỉ làm việc nếu bạn đã mã hóa OS Volume với tiện ích dòng lệnh có khả năng quản lý.
- Rắc rối thứ hai là sau khi ổ dữ liệu được mã hóa, bạn sẽ không thể truy cập vào dữ liệu sao khi khởi động lại máy tính trừ khi bạn tự động mở khóa ổ dữ liệu. Đây là cách bạn có thể tránh vấn đề này:
1. Chúng ta thừa nhận rằng bạn đã mã hóa Data Volume bằng một trong các ví dụ của chúng ta trong bài này hoặc các tham chiếu của chính bạn.
2. Trước khi khởi động lại máy tính, bạn hãy nhập vào lệnh sau:
cscript manage-bde.wsf –autounlock –enable :
là ký tự ổ đĩa đã được gán cho Data Volume. Nhớ rằng phải có dấu “:” đi kèm với ký tự ổ.
Lệnh trên sẽ tạo một bộ bảo vệ cho khóa mở rộng trên ổ dữ liệu và lưu khóa mật trên ổ hệ điều hành (thường là ổ C:), ổ mà chúng ta đã mã hóa từ trước. Theo cách này, khóa mật cho ổ dữ liệu được bảo vệ bởi khóa mật cho ổ hệ điều hành, tuy nhiên vẫn tự động được tải trong suốt giai đoạn khởi động.
Kết luận
Trong bài này chúng tôi đã giới thiệu cho các bạn một cách khác để có thể kích hoạt BitLocker trong Vista so với các bài hướng dẫn khác của Microsoft. Chúng tôi muốn giới thiệu rằng BitLocker có khả năng nhiều hơn những gì bạn có thể thực hiện từ GUI. Trong phần 2 của loạt bài này, chúng ta sẽ xem xét sâu hơn về cách có thể cấu hình và quản lý BitLocker từ một môi trường Active Directory tập trung như thế nào và cách quản lý tốt nhất BitLocker về mặt khôi phục khóa.