BitLocker để mã hóa ổ lưu trữ ngoài Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưu các khóa BitLocker Recovery trong cơ sở dữ liệu Active Directory. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách điều chỉnh cho BitLocker được sử dụng như thế nào trong tổ chức qua các thiết lập chính sách nhóm. Như những gì chúng tôi đã nói ở cuối phần trước, một trong những vấn đề lớn với việc mã hóa thiết bị lưu trữ là tiềm ẩn khả năng mất dữ liệu. Như những gì bạn biết, các thiết bị được mã hóa BitLocker sẽ được bảo vệ bằng mật khẩu. Tuy nhiên vấn đề ở đây là người dùng rất có thể quên mật khẩu và trở thành chính nạn nhân của việc mã hóa, họ không thể lấy được dữ liệu trong thiết bị mà mình đã thực hiện mã hóa. Nếu bạn dừng lại và nghĩ về nó, thì việc dữ liệu mã hóa mà không thể giải mã sẽ chẳng khác gì việc dữ liệu bị lỗi. Nếu quay trở lại phần đầu tiên của loạt bài này, bạn sẽ thấy khi mã hóa một ổ đĩa bằng BitLocker, Windows sẽ hiển thị một thông báo, giống như được hiển thị ở hình A bên dưới, thông báo này cho bạn biết rằng khi quên mật khẩu, người dùng có thể sử dụng khóa khôi phục để truy cập vào ổ đĩa. Windows không chỉ tự động cung cấp cho bạn khóa khôi phục này mà nó còn bắt buộc bạn phải in khóa khôi phục ra giấy hoặc lưu nó vào một file nào đó. Hình A: BitLocker bảo vệ người dùng tránh hiện tượng mất dữ liệu bằng cách cung cấp cho họ khóa khôi phục Việc đưa ra khóa khôi phục để tránh mất dữ liệu là một ý tưởng tốt, tuy nhiên trong thế giới thực nó lại không mang tính thực tế. Mất khóa mã hóa có thể gây ra một hậu quả nghiêm trọng trong môi trường công ty, nơi dữ liệu là không thể thay thế. Tuy nhiên vẫn cần nói lời cảm ơn rằng bạn đã không phải phụ thuộc vào người dùng để theo dõi các khóa khôi phục của họ mà có thể lưu các khóa khôi phục trong Active Directory. Chuẩn bị Active Directory Trước khi đi cấu hình BitLocker để lưu các khóa khôi phục trong Active Directory, chúng ta cần thực hiện một số công việc chuẩn bị. Chúng tôi bảo đảm chắc chắn bạn đã biết điều này, BitLocker to Go được giới thiệu lần đầu tiên trong Windows 7 và Windows Server 2008 R2. Nó được bổ sung với lý do hỗ trợ khôi phục khóa BitLocker to Go ở mức Active Directory, sau đó bạn sẽ cần chạy một số mã Windows Server 2008 R2 trên các domain controller của mình. Tin hay không thì tùy, bạn không phải nâng cấp tất cả các domain controller lên Windows Server 2008 R2, trừ khi muốn. Thay vào đó, có thể sử dụng DVD cài đặt Windows Server 2008 R2 để mở rộng giản đồ Active Directory trên domain controller đang hoạt động như schema master cho Active Directory forest của mình. Trước khi giới thiệu cho các bạn cách mở rộng giản đồ Active Directory, chúng tôi cần phải cảnh báo các bạn rằng thủ tục này thừa nhận rằng tất cả các domain controller đang chạy Windows 2000 Server SP4 hoặc phiên bản cao hơn. Nếu chỉ có các domain controller cũ thì bạn cần phải nâng cấp chúng lên để có thể thực hiện các mở rộng giản đồ cần thiết. Bạn cũng nên thực hiện backup trạng thái toàn bộ hệ thống của các domain controller trước khi mở rộng giản đồ Active Directory. Cách thức này là để đề phòng nếu có vấn đề gì đó xảy ra không theo ý muốn trong quá trình mở rộng, bạn vẫn có thể khôi phục lại trạng thái trước đó của mình. Với các công tác chuẩn bị đó, bạn có thể mở rộng giản đồ Active Directory bằng cách chèn DVD cài đặt Windows Server 2008 R2 của bạn vào schema master. Sau đó, mở cửa sổ nhắc lệnh Command Prompt bằng cách sử dụng tùy chọn Run As Administrator và nhập vào lệnh dưới đây (ở đây D: là ổ đĩa có chứa đĩa cài đặt): D: CD\ CD SUPPORT\ADPREP ADPREP /FORESTPREP Khi tiện ích ADPrep load, bạn sẽ được yêu cầu xác nhận các domain controller đang chạy các phiên bản Windows Server thích hợp. Đơn giản hãy nhất phím C và sau đó nhấn Enter để bắt đầu quá trình mở rộng giản đồ, như thể hiện trong hình B. Toàn bộ quá trình mở rộng giản đồ sẽ chỉ mất một vài phút để hoàn tất. Hình B: Giản đồ Active Directory phải được mở rộng trước khi các khóa BitLocker được lưu trong Active Directory Cấu hình chính sách nhóm (Group Policy) Việc chỉ mở rộng một cách đơn giản giản đồ Active Directory không bắt buộc BitLocker lưu các khóa khôi phục trong Active Directory. Do đó để có được điều mong muốn chúng ta cần phải cấu hình một vài thiết lập chính sách nhóm. Bắt đầu quá trình bằng cách load chính sách nhóm được sử dụng cho các máy trạm của bạn trong Group Policy Management Editor. Điều hướng thông qua cây giao diện để đến Computer Configuration | Policies | Administrative Templates: Policy Definitions | Windows Components | BitLocker Drive Encryption | Removable Data Drives. Như những gì bạn có thể nhớ lại, chúng tôi đã giới thiệu hầu hết các thiết lập chính sách riêng rẽ trong phần trước của loạt bài này. Đến đây, bạn cần kích hoạt thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker, xem thể hiện trong hình C. Quả thực, đây không phải là một yêu cầu bắt buộc, tuy nhiên nó sẽ cho mang đến cho bạn cách bắt buộc người dùng phải mã hóa các ổ USB của họ. Nếu bắt buộc người dùng sử dụng mã hóa BitLocker thì bạn cũng nên chọn tùy chọn Do Not Allow Write Access to Devices Configured in Another Organization. Lần nữa, đây cũng không phải tùy chọn bắt buộc nhưng nó sẽ giúp bạn cải thiện được độ bảo mật. Hình C: Nếu muốn thực thi mã hóa backup cho các ổ ngoài, bạn cần phải kích hoạt thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker. Bước tiếp theo trong quá trình là kích hoạt thiết lập Choose How BitLocker Removable Drives Can Be Recovered. Nếu quan sát trong hình D, bạn sẽ thấy hộp thoại được hiển thị khi kích đúp vào thiết lập Deny Write Access to Removable Drives Not Protected by BitLocker. Như những gì bạn thấy trong hình, có một loạt các hộp kiểm mà bạn có thể được chọn khi thiết lập chính sách nhóm này được kích hoạt. Hình D: Có ba tùy chọn bạn nên kích hoạt Nếu mục tiêu là lưu một copy mỗi khóa khôi phục trong Active Directory thì quả thực có ba tùy chọn mà bạn cần phải kích hoạt. Đầu tiên là tùy chọn Allow Data Recovery Agent. Tùy chọn này sẽ được chọn mặc định, tuy nhiên đây là một tùy chọn quan trọng cho sự thành công của toàn bộ quá trình khôi phục khóa nên bạn cần phải thẩm định rằng nó đã được kích hoạt. Tiếp đến, bạn cần phải chọn Save BitLocker Recovery Information to AD DS for Removable Data Drives. Như những gì bạn có thể đoán, đây là tùy chọn sẽ lưu các khóa khôi phục BitLocker vào Active Directory. Cuối cùng, bạn cần chọn tùy chọn Do Not Enable BitLocker Until Recovery Information Is Stored To AD DS For Removable Data Drives. Tùy chọn này sẽ bắt buộc Windows xác nhận rằng sự khôi phục đã được ghi vào Active Directory trước khi BitLocker được phép mã hóa ổ ngoài. Mặc dù không bắt buộc nhưng một số quản trị viên cũng có thể kích hoạt tùy chọn Omit Recovery Option From The BitLocker Setup Wizard. Điều này sẽ ngăn chặn không cho người dùng lưu hoặc in các bản copy khóa khôi phục của họ. Kết luận Trong phần này, chúng tôi đã giới thiệu cho các bạn cách cấu hình Active Directory để lưu các khóa khôi phục BitLocker cho các ổ ngoài. Trong phần 4 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách làm việc của quá trình này như thế nào. . BitLocker để mã hóa ổ lưu trữ ngoài Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưu các khóa BitLocker Recovery trong cơ sở dữ. người dùng để theo dõi các khóa khôi phục của họ mà có thể lưu các khóa khôi phục trong Active Directory. Chuẩn bị Active Directory Trước khi đi cấu hình BitLocker để lưu các khóa khôi phục. dùng lưu hoặc in các bản copy khóa khôi phục của họ. Kết luận Trong phần này, chúng tôi đã giới thiệu cho các bạn cách cấu hình Active Directory để lưu các khóa khôi phục BitLocker cho các ổ ngoài.