Thực đơn
trang chủHướng dẫn

BitLocker - Mã hóa ổ đĩa. BitLocker: nó là gì và làm thế nào để mở khóa nó

BitLocker - khả năng mã hóa ổ đĩa mới
Mất dữ liệu bí mật thường xảy ra sau khi kẻ tấn công có được quyền truy cập vào thông tin trên ổ cứng. Ví dụ: nếu kẻ lừa đảo bằng cách nào đó có cơ hội đọc các tệp hệ thống, hắn có thể cố gắng sử dụng chúng để tìm mật khẩu người dùng, trích xuất thông tin cá nhân, v.v.
Windows 7 bao gồm một công cụ có tên BitLocker, cho phép bạn mã hóa toàn bộ ổ đĩa của mình, bảo vệ dữ liệu trên đó khỏi những con mắt tò mò.
Công nghệ mã hóa BitLocker đã được giới thiệu trong Windows Vista và đã được phát triển thêm trong hệ điều hành mới. Hãy liệt kê những đổi mới thú vị nhất:

  • bật BitLocker từ menu ngữ cảnh Explorer;
  • tự động tạo phân vùng đĩa khởi động ẩn;
  • Hỗ trợ Data Recovery Agent (DRA) cho tất cả các ổ đĩa được bảo vệ.

Hãy để chúng tôi nhắc bạn rằng công cụ này không được triển khai trong tất cả các phiên bản Windows mà chỉ được triển khai trong các phiên bản “Nâng cao”, “Doanh nghiệp” và “Chuyên nghiệp”.

Bảo vệ đĩa bằng công nghệ BitLocker sẽ bảo vệ dữ liệu bí mật của người dùng trong hầu hết mọi trường hợp bất khả kháng - trong trường hợp mất phương tiện di động, trộm cắp, truy cập trái phép vào đĩa, v.v.
Công nghệ mã hóa dữ liệu BitLocker có thể được áp dụng cho bất kỳ tệp nào trên ổ đĩa hệ thống cũng như mọi phương tiện được kết nối bổ sung. Nếu dữ liệu chứa trên đĩa được mã hóa được sao chép sang phương tiện khác, thông tin sẽ được truyền mà không cần mã hóa.
Để cung cấp mức độ bảo mật cao hơn, BitLocker có thể sử dụng mã hóa đa cấp - sử dụng đồng thời một số loại bảo vệ, bao gồm cả phương pháp phần cứng và phần mềm. Sự kết hợp của các phương pháp bảo vệ dữ liệu cho phép bạn có được một số chế độ hoạt động khác nhau của hệ thống mã hóa BitLocker. Mỗi người trong số họ đều có những ưu điểm riêng và cũng cung cấp mức độ bảo mật riêng:

  • chế độ sử dụng mô-đun nền tảng đáng tin cậy;
  • chế độ sử dụng mô-đun nền tảng đáng tin cậy và thiết bị USB;
  • chế độ sử dụng mô-đun nền tảng đáng tin cậy và số nhận dạng cá nhân (PIN);
  • chế độ sử dụng thiết bị USB có chứa phím.

Trước khi chúng ta xem xét kỹ hơn cách sử dụng BitLocker, cần phải làm rõ một số điều. Trước hết, điều quan trọng là phải hiểu thuật ngữ. Mô-đun nền tảng đáng tin cậy là một chip mật mã đặc biệt cho phép nhận dạng. Ví dụ, một con chip như vậy có thể được tích hợp vào một số mẫu máy tính xách tay, máy tính để bàn, các thiết bị di động khác nhau, v.v.
Con chip này lưu trữ một "khóa truy cập root" duy nhất. Một con chip được "khâu" như vậy là một biện pháp bảo vệ bổ sung đáng tin cậy khác chống lại việc hack các khóa mã hóa. Nếu dữ liệu này được lưu trữ trên bất kỳ phương tiện nào khác, có thể là ổ cứng hoặc thẻ nhớ, nguy cơ mất thông tin sẽ cao hơn một cách không tương xứng vì những thiết bị này dễ truy cập hơn. Bằng cách sử dụng "khóa truy cập gốc", chip có thể tạo khóa mã hóa riêng mà chỉ TPM mới có thể giải mã được.
Mật khẩu chủ sở hữu được tạo vào lần đầu tiên TPM được khởi tạo. Windows 7 hỗ trợ TPM phiên bản 1.2 và cũng yêu cầu BIOS tương thích.
Khi việc bảo vệ được thực hiện độc quyền bằng mô-đun nền tảng đáng tin cậy, khi máy tính được bật, dữ liệu sẽ được thu thập ở cấp độ phần cứng, bao gồm dữ liệu BIOS cũng như các dữ liệu khác, tổng số dữ liệu đó cho biết tính xác thực của phần cứng. Chế độ hoạt động này được gọi là "minh bạch" và không yêu cầu bất kỳ hành động nào từ người dùng - quá trình kiểm tra sẽ diễn ra và nếu thành công, quá trình tải xuống sẽ được thực hiện ở chế độ bình thường.
Điều tò mò là các máy tính chứa mô-đun nền tảng đáng tin cậy vẫn chỉ là lý thuyết đối với người dùng của chúng tôi, vì việc nhập khẩu và bán các thiết bị như vậy ở Nga và Ukraine bị pháp luật cấm do các vấn đề về chứng nhận. Do đó, tùy chọn duy nhất vẫn phù hợp với chúng tôi là bảo vệ ổ đĩa hệ thống bằng ổ USB có ghi khóa truy cập.

Công nghệ BitLocker cho phép bạn áp dụng thuật toán mã hóa cho các ổ dữ liệu sử dụng hệ thống tệp exFAT, FAT16, FAT32 hoặc NTFS. Nếu mã hóa được áp dụng cho đĩa có hệ điều hành thì để sử dụng công nghệ BitLocker, dữ liệu trên đĩa này phải được ghi ở định dạng NTFS.
Phương thức mã hóa mà công nghệ BitLocker sử dụng dựa trên thuật toán AES mạnh với khóa 128 bit.
Một trong những khác biệt giữa tính năng Bitlocker trong Windows 7 và một công cụ tương tự trong Windows Vista là hệ điều hành mới không yêu cầu phân vùng đĩa đặc biệt. Trước đây, người dùng phải sử dụng Công cụ chuẩn bị đĩa Microsoft BitLocker để thực hiện việc này, nhưng bây giờ chỉ cần chỉ định đĩa nào cần được bảo vệ là đủ và hệ thống sẽ tự động tạo phân vùng khởi động ẩn trên đĩa được Bitlocker sử dụng. Phân vùng khởi động này sẽ được sử dụng để khởi động máy tính, nó được lưu trữ ở dạng không được mã hóa (nếu không thì không thể khởi động được), nhưng phân vùng có hệ điều hành sẽ được mã hóa.
So với Windows Vista, phân vùng khởi động chiếm dung lượng ổ đĩa ít hơn khoảng mười lần. Phân vùng bổ sung không được gán một chữ cái riêng và nó không xuất hiện trong danh sách các phân vùng trong trình quản lý tệp.

Để quản lý mã hóa, thật thuận tiện khi sử dụng một công cụ trong Control Panel có tên là BitLocker Drive Encryption. Công cụ này là trình quản lý ổ đĩa cho phép bạn nhanh chóng mã hóa và mở khóa ổ đĩa cũng như hoạt động với TPM. Từ cửa sổ này, bạn có thể dừng hoặc tạm dừng mã hóa BitLocker bất kỳ lúc nào.

Dựa trên tài liệu từ 3dnews.ru

Nhiều người dùng khi phát hành hệ điều hành Windows 7 đã phải đối mặt với thực tế là một dịch vụ BitLocker khó hiểu đã xuất hiện trong đó. Nhiều người chỉ có thể đoán BitLocker là gì. Hãy làm rõ tình hình bằng các ví dụ cụ thể. Chúng tôi cũng sẽ xem xét các câu hỏi liên quan đến việc nên kích hoạt thành phần này hay vô hiệu hóa nó hoàn toàn.

Dịch vụ BitLocker: Nó dùng để làm gì?

Nếu xem xét kỹ, bạn có thể kết luận rằng BitLocker là một phương tiện mã hóa dữ liệu phổ biến, hoàn toàn tự động được lưu trữ trên ổ cứng của bạn. BitLocker trên ổ cứng là gì? Đây là một dịch vụ thông thường mà không cần sự can thiệp của người dùng, cho phép bạn bảo vệ các thư mục và tệp bằng cách mã hóa chúng và tạo khóa văn bản đặc biệt cung cấp quyền truy cập vào tài liệu. Tại thời điểm người dùng làm việc bằng tài khoản của mình, anh ta thậm chí không nhận ra rằng dữ liệu đã được mã hóa. Tất cả thông tin được hiển thị ở dạng có thể đọc được và quyền truy cập vào các thư mục và tệp không bị chặn đối với người dùng. Nói cách khác, biện pháp bảo mật như vậy chỉ được thiết kế cho những tình huống có thể xảy ra truy cập trái phép vào thiết bị đầu cuối máy tính do nỗ lực can thiệp từ bên ngoài.

Các vấn đề về mật mã và mật khẩu

Nếu chúng ta nói về BitLocker trông như thế nào trong Windows 7 hoặc trong các hệ thống cấp cao hơn, cần lưu ý thực tế khó chịu này: nếu họ mất mật khẩu đăng nhập, nhiều người dùng không chỉ có thể đăng nhập vào hệ thống mà còn có thể thực hiện một số hành động để xem các tài liệu trước đây có thể di chuyển, sao chép, v.v. Nhưng vấn đề không kết thúc ở đó. Nếu bạn hiểu đúng câu hỏi BitLocker Windows 8 và 10 là gì thì không có sự khác biệt đáng kể nào. Điều duy nhất có thể lưu ý là công nghệ mật mã tiên tiến hơn. Vấn đề ở đây là khác nhau. Vấn đề là bản thân dịch vụ này có khả năng hoạt động ở hai chế độ, lưu trữ khóa giải mã trên ổ cứng hoặc trên ổ USB di động. Điều này gợi ý một kết luận hoàn toàn hợp lý: người dùng, nếu có khóa đã lưu trên ổ cứng, sẽ có quyền truy cập vào tất cả thông tin được lưu trữ trên đó mà không gặp bất kỳ vấn đề gì. Khi khóa được lưu trên ổ flash, vấn đề nghiêm trọng hơn nhiều. Về nguyên tắc, bạn có thể thấy đĩa hoặc phân vùng được mã hóa nhưng bạn sẽ không thể đọc được thông tin. Ngoài ra, nếu chúng ta nói về BitLocker là gì trong Windows 10 và các hệ thống thuộc các phiên bản cũ hơn, cần lưu ý thực tế là dịch vụ này được tích hợp vào menu ngữ cảnh thuộc bất kỳ loại nào, được gọi bằng cách nhấp chuột phải. Điều này đơn giản là gây khó chịu cho nhiều người dùng. Chúng ta đừng vượt lên trên chính mình và xem xét tất cả các khía cạnh chính liên quan đến hoạt động của thành phần này, cũng như khả năng nên ngừng kích hoạt và sử dụng nó.

Phương pháp mã hóa phương tiện và đĩa di động

Điều kỳ lạ nhất là trên các hệ thống khác nhau và các sửa đổi của chúng, theo mặc định, dịch vụ BitLocker của Windows 10 có thể ở chế độ hoạt động hoặc thụ động. Trong Windows 7, nó được bật theo mặc định, trong Windows 8 và Windows 10, đôi khi nó yêu cầu kích hoạt thủ công. Về vấn đề mã hóa, không có gì mới được phát minh ở đây. Thông thường, công nghệ AES dựa trên khóa công khai tương tự được sử dụng, công nghệ này thường được sử dụng nhiều nhất trong các mạng công ty. Do đó, nếu thiết bị đầu cuối máy tính của bạn có hệ điều hành phù hợp được kết nối với mạng cục bộ, bạn có thể hoàn toàn chắc chắn rằng chính sách bảo mật và bảo vệ thông tin được sử dụng liên quan đến việc kích hoạt dịch vụ này. Ngay cả khi bạn có quyền quản trị viên, bạn sẽ không thể thay đổi bất cứ điều gì.

Kích hoạt dịch vụ BitLocker của Windows 10 nếu nó đã bị vô hiệu hóa

Trước khi bắt đầu giải quyết vấn đề liên quan đến BitLocker Windows 10, bạn cần xem xét quá trình kích hoạt và định cấu hình nó. Các bước hủy kích hoạt sẽ cần phải được thực hiện theo thứ tự ngược lại. Việc kích hoạt mã hóa theo cách đơn giản nhất được thực hiện từ “Bảng điều khiển” bằng cách chọn phần mã hóa ổ đĩa. Phương pháp này chỉ có thể được sử dụng nếu khóa không được lưu vào phương tiện di động. Nếu phương tiện không thể tháo rời bị khóa, thì bạn sẽ phải tìm một câu hỏi khác về dịch vụ BitLocker của Windows 10: làm cách nào để tắt thành phần này? Điều này được thực hiện khá đơn giản. Với điều kiện là khóa nằm trên phương tiện di động, để giải mã ổ đĩa và phân vùng ổ đĩa, bạn cần cắm nó vào cổng thích hợp, sau đó chuyển đến phần hệ thống bảo mật của Bảng điều khiển. Sau đó, chúng tôi tìm mục mã hóa BitLocker, sau đó xem xét phương tiện và ổ đĩa được cài đặt bảo vệ. Bên dưới sẽ có một siêu liên kết được thiết kế để vô hiệu hóa mã hóa. Bạn cần phải bấm vào nó. Nếu khóa được nhận dạng, quá trình giải mã sẽ được kích hoạt. Tất cả bạn phải làm là chờ cho nó hoàn thành.

Cấu hình các thành phần ransomware: vấn đề

Về vấn đề thiết lập chắc hẳn sẽ không khỏi đau đầu. Trước hết, điều đáng chú ý là hệ thống cung cấp dung lượng dự trữ ít nhất 1,5 GB cho nhu cầu của bạn. Thứ hai, bạn cần điều chỉnh quyền của hệ thống tệp NTFS, chẳng hạn như giảm kích thước âm lượng. Để thực hiện những việc như vậy, bạn nên tắt ngay thành phần này vì hầu hết người dùng không cần đến nó. Ngay cả những người đã bật dịch vụ này theo mặc định trong cài đặt của họ cũng không phải lúc nào cũng biết phải làm gì với dịch vụ đó hoặc liệu nó có cần thiết hay không. Và vô ích... Trên máy tính cục bộ, bạn có thể bảo vệ dữ liệu với sự trợ giúp của nó ngay cả khi hoàn toàn không có phần mềm chống vi-rút.

Cách tắt BitLocker: bắt đầu

Trước hết, bạn cần sử dụng mục được chỉ định trước đó trong “Bảng điều khiển”. Tên của các trường vô hiệu hóa dịch vụ có thể thay đổi tùy theo sửa đổi hệ thống. Ổ đĩa đã chọn có thể được đặt để tạm dừng bảo vệ hoặc cho biết tắt dịch vụ BitLocker. Nhưng đó không phải là vấn đề. Cần đặc biệt chú ý đến việc cần phải tắt hoàn toàn việc cập nhật BIOS và các tệp khởi động hệ thống. Nếu không, quá trình giải mã có thể mất khá nhiều thời gian.

Danh mục

Đây là một mặt của đồng xu BitLocker. Dịch vụ này là gì thì đã rõ ràng rồi. Mặt trái của nó là ngăn cách các menu bổ sung chứa các liên kết đến một dịch vụ nhất định. Để làm được điều này, bạn cần xem xét lại BitLocker. Làm cách nào để xóa tất cả các liên kết đến một dịch vụ khỏi menu ngữ cảnh? Có, rất đơn giản... Khi bạn chọn tệp mong muốn trong Explorer, hãy sử dụng phần dịch vụ và chỉnh sửa của menu ngữ cảnh, đi tới cài đặt, sau đó sử dụng cài đặt lệnh và sắp xếp chúng. Tiếp theo, bạn cần chỉ định giá trị của “Bảng điều khiển” và tìm giá trị bạn cần trong danh sách các thành phần và lệnh của bảng điều khiển tương ứng rồi xóa nó. Sau đó, trong trình chỉnh sửa sổ đăng ký, bạn cần đến nhánh HKCR và tìm phần ROOT Directory Shell, mở rộng nó và xóa phần tử mong muốn bằng cách nhấn phím Del hoặc sử dụng lệnh xóa từ menu chuột phải. Đó là điều cuối cùng về BitLocker. Làm thế nào để vô hiệu hóa nó chắc hẳn bạn đã rõ ràng. Nhưng đừng tự lừa dối mình trước thời hạn. Dịch vụ này sẽ vẫn chạy ở chế độ nền dù bạn có muốn hay không.

Phần kết luận

Cần nói thêm rằng đây không phải là tất cả những gì có thể nói về thành phần hệ thống mã hóa BitLocker. Chúng tôi đã tìm ra BitLocker là gì. Bạn cũng đã học cách tắt và xóa các lệnh menu. Câu hỏi đặt ra là: có đáng để vô hiệu hóa BitLocker không? Ở đây chúng tôi có thể đưa ra một lời khuyên: trong mạng công ty, bạn hoàn toàn không nên tắt thành phần này. Nhưng nếu chúng ta đang nói về một thiết bị đầu cuối máy tính gia đình thì tại sao không.

Trong loạt bài này, chúng tôi đã nói ngắn gọn về công nghệ BitLocker, một công cụ bảo mật trong các hệ điều hành Windows hiện đại. Về nguyên tắc, bài viết đã mô tả kiến ​​trúc của công cụ này, kiến ​​trúc này sẽ không được sử dụng nhiều khi thực hiện mã hóa ổ đĩa tại nhà hoặc trong một tổ chức. Cũng từ bài viết đầu tiên, bạn có thể biết rằng để tận dụng tối đa công nghệ này, các máy tính sẽ thực hiện mã hóa phải được trang bị một mô-đun như Mô-đun nền tảng đáng tin cậy (TPM), thật không may, có thể được tìm thấy ở xa trên mọi máy tính. Do đó, trong các bài viết tiếp theo của loạt bài này, khi mô tả cách làm việc với một mô-đun nền tảng đáng tin cậy, chỉ xem xét trình giả lập của nó trên máy ảo. Ngoài ra, tôi nghĩ cần lưu ý rằng cả bài viết này và các bài viết tiếp theo trong loạt bài này đều không thảo luận về việc chặn ổ dữ liệu khi sử dụng thẻ thông minh.

Như bạn có thể biết, công nghệ BitLocker cho phép bạn mã hóa toàn bộ ổ đĩa, trong khi Hệ thống tệp mã hóa (EFS) cho phép bạn chỉ mã hóa các tệp riêng lẻ. Đương nhiên, trong một số trường hợp, bạn chỉ cần mã hóa một số tệp nhất định và có vẻ như không cần mã hóa toàn bộ phân vùng, nhưng chỉ nên sử dụng EFS trên các máy tính trong mạng nội bộ sẽ không được di chuyển giữa các phòng ban và văn phòng. Nói cách khác, nếu người dùng của bạn có máy tính xách tay, anh ta cần phải đi công tác định kỳ và người dùng như vậy chỉ có vài chục tệp trên máy tính của anh ta cần được mã hóa, thì tốt hơn là máy tính xách tay của anh ta nên sử dụng công nghệ BitLocker thay vì hệ thống tệp được mã hóa. Điều này được giải thích là do với EFS, bạn sẽ không thể mã hóa các thành phần quan trọng như vậy của hệ điều hành dưới dạng tệp đăng ký. Và nếu kẻ tấn công truy cập vào sổ đăng ký máy tính xách tay của bạn, hắn có thể tìm thấy nhiều thông tin thú vị cho riêng mình, chẳng hạn như dữ liệu được lưu trong bộ nhớ đệm cho tài khoản miền của người dùng, hàm băm mật khẩu, v.v., những thông tin này trong tương lai có thể gây ra tác hại đáng kể và tổn thất không chỉ đối với người dùng này mà còn đối với toàn bộ công ty. Và với sự trợ giúp của công nghệ BitLocker, không giống như hệ thống tệp được mã hóa, như đã lưu ý một chút ở trên, tất cả dữ liệu nằm trên đĩa được mã hóa của máy tính xách tay của người dùng sẽ được mã hóa trên máy tính xách tay của người dùng. Nhiều người có thể hỏi: làm thế nào những người dùng khác trong tổ chức có thể sử dụng các tệp được mã hóa bằng công nghệ này? Trên thực tế, mọi thứ rất đơn giản: nếu một máy tính có các tệp được mã hóa bằng công nghệ BitLocker được chia sẻ thì người dùng được ủy quyền sẽ có thể tương tác với các tệp đó một cách dễ dàng như thể không có mã hóa trên máy tính của người dùng đó. Ngoài ra, nếu các tệp nằm trên đĩa được mã hóa được sao chép sang máy tính khác hoặc sang đĩa không được mã hóa thì các tệp này sẽ tự động được giải mã.

Trong các phần sau, bạn sẽ tìm hiểu cách mã hóa hệ thống và các phân vùng phụ trên máy tính xách tay không phải TPM chạy Windows 7.

Kích hoạt mã hóa BitLocker cho phân vùng hệ thống

Không có gì phức tạp khi kích hoạt mã hóa ổ đĩa BitLocker trên phân vùng hệ thống trên máy tính không thuộc miền. Trước khi mã hóa đĩa hệ thống, tôi nghĩ bạn nên chú ý đến thực tế là trên máy tính xách tay mà các đĩa sẽ được mã hóa, ba phân vùng đã được tạo và hai phân vùng đầu tiên phải được mã hóa:

Cơm. 1. Windows Explorer trên máy tính xách tay sẽ mã hóa ổ đĩa

Để mã hóa phân vùng hệ thống, hãy làm theo các bước sau:

  1. Trước hết, vì máy tính xách tay trong ví dụ này có ổ đĩa sẽ được mã hóa không có TPM nên bạn nên thực hiện một số bước sơ bộ. Bạn cần mở snap "Trình chỉnh sửa chính sách nhóm cục bộ" và đi tới Cấu hình máy tính\Mẫu quản trị\Thành phần Windows\Mã hóa ổ đĩa BitLocker\Ổ đĩa hệ điều hành. Tại đây bạn có thể tìm thấy sáu cài đặt chính sách khác nhau. Vì đã đề cập trước đó rằng máy tính xách tay này không được trang bị mô-đun TPM, bạn cần đảm bảo rằng trước khi tải hệ điều hành, bạn sử dụng ổ USB có chứa một khóa đặc biệt được thiết kế để xác nhận xác thực và khởi động hệ thống tiếp theo. Cài đặt chính sách được sử dụng để thực hiện thao tác này là "Yêu cầu xác thực bổ sung khi khởi động". Trong hộp thoại thuộc tính cho cài đặt chính sách này, bạn nên chọn các tùy chọn "Cho phép BitLocker không có TPM tương thích". Trong trường hợp này, vì đây là tùy chọn duy nhất mà chúng tôi có thể quan tâm khi mã hóa đĩa trong nhóm làm việc, hãy lưu các thay đổi đã thực hiện. Hộp thoại thuộc tính cho cài đặt chính sách này được hiển thị trong hình minh họa sau:

    2. Cơm. 2. Yêu cầu xác thực bổ sung tại Hộp thoại Thuộc tính thiết lập chính sách khởi động

    Có nhiều cài đặt Chính sách nhóm khác nhau có sẵn để quản lý công nghệ BitLocker. Các tùy chọn này sẽ được thảo luận chi tiết trong bài viết sau về công nghệ BitLocker.

  2. Mở "Bảng điều khiển", đi đến danh mục "Hệ thống và an toàn" và sau đó chọn "Mã hóa ổ đĩa BitLocker";
  3. Trong cửa sổ Control Panel hiện ra, chọn phân vùng hệ thống rồi nhấn vào liên kết "Bật BitLocker". Điều đáng chú ý là bạn chỉ có thể mã hóa phân vùng nếu nó nằm trên đĩa cơ bản. Nếu bạn đã tạo các phân vùng trên đĩa động, trước khi mã hóa chúng, bạn sẽ cần chuyển đổi đĩa từ động sang cơ bản. Hình minh họa sau đây cho thấy cửa sổ "Mã hóa ổ đĩa BitLocker":

    4. Cơm. 3. Cửa sổ Control Panel BitLocker Drive Encryption

  4. Sau khi kiểm tra cấu hình máy tính của bạn, trên trang đầu tiên của Trình hướng dẫn mã hóa ổ đĩa BitLocker, bạn có thể chỉ định các tùy chọn khởi động khác nhau. Nhưng vì máy tính xách tay của tôi không có TPM và cài đặt Chính sách nhóm đã được thay đổi để cho phép mã hóa BitLocker trên phần cứng không hỗ trợ TPM nên tôi chỉ có thể chọn "Yêu cầu key khi khởi động". Trang đầu tiên của trình hướng dẫn được hiển thị bên dưới:

    5. Cơm. 4. Tùy chọn khởi động Trình hướng dẫn mã hóa ổ đĩa BitLocker

  5. Trên trang "Lưu khóa khởi động" Trong trình hướng dẫn Mã hóa Ổ đĩa BitLocker, bạn phải gắn ổ đĩa flash vào máy tính của mình rồi chọn nó trong danh sách. Sau khi chọn ổ đĩa, nhấn vào nút "Cứu";
  6. Trên trang thứ ba của trình hướng dẫn, bạn sẽ phải chỉ định vị trí cho khóa khôi phục. Khóa khôi phục là một tệp văn bản nhỏ chứa một số hướng dẫn, nhãn ổ đĩa, ID mật khẩu và khóa khôi phục gồm 48 ký tự. Cần phải nhớ rằng khóa này khác với khóa khởi chạy ở chỗ nó được sử dụng để truy cập dữ liệu trong trường hợp không thể truy cập bằng bất kỳ phương tiện nào khác. Bạn có thể chọn một trong ba tùy chọn sau: lưu khóa khôi phục vào ổ flash USB, lưu khóa khôi phục vào một tập tin hoặc khóa khôi phục in. Xin lưu ý rằng khi chọn tùy chọn đầu tiên, bạn cần lưu các khóa khôi phục và khởi động trên các ổ flash khác nhau. Vì bạn nên lưu một số khóa khôi phục và trên các máy tính không phải máy tính được mã hóa, nên trong trường hợp của tôi, khóa khôi phục đã được lưu trong thư mục mạng trên một trong các máy chủ của tôi cũng như trên ổ đĩa đám mây HP. Giờ đây, nội dung của khóa khôi phục sẽ chỉ có tôi và HP biết, mặc dù rất có thể họ đã thuyết phục chúng tôi về tính bảo mật hoàn toàn của thông tin. Nếu bạn in ra khóa khôi phục, Microsoft khuyên bạn nên lưu trữ tài liệu trong két an toàn có khóa. Tôi khuyên bạn chỉ nên ghi nhớ 48 số này và sau khi đọc tài liệu thì hãy ghi nó đi :). Trang “Làm cách nào để lưu khóa khôi phục?” Trình hướng dẫn mã hóa BitLocker được hiển thị trong hình minh họa sau:

    7. Cơm. 5. Lưu key khôi phục dữ liệu mã hóa bằng BitLocker

  7. Đây là trang cuối cùng của Trình hướng dẫn mã hóa ổ đĩa vì tại thời điểm này, bạn có thể chạy kiểm tra hệ thống BitLocker để đảm bảo rằng bạn có thể dễ dàng sử dụng khóa khôi phục của mình nếu cần. Để hoàn tất quá trình kiểm tra hệ thống, bạn sẽ được nhắc khởi động lại máy tính của mình. Về nguyên tắc, bước này không bắt buộc nhưng vẫn nên thực hiện việc kiểm tra này. Bạn có thể xem trang cuối cùng của trình hướng dẫn bên dưới:

    8. Cơm. 6. Trang cuối cùng của Trình hướng dẫn mã hóa ổ đĩa

  8. Ngay sau quá trình kiểm tra POST, bạn sẽ được nhắc lắp ổ đĩa flash có phím khởi động để khởi động hệ điều hành. Khi máy tính được khởi động lại và BitLocker biết rằng sẽ không có trường hợp không lường trước nào xảy ra sau khi mã hóa, quá trình mã hóa ổ đĩa sẽ tự bắt đầu. Bạn sẽ biết điều này từ biểu tượng hiển thị trong vùng thông báo hoặc nếu bạn đi tới cửa sổ "Mã hóa ổ đĩa BitLocker" từ bảng điều khiển. Quá trình mã hóa tự chạy ở chế độ nền, nghĩa là bạn sẽ có thể tiếp tục làm việc trên máy tính của mình trong khi mã hóa đang chạy, nhưng BitLocker sẽ sử dụng nhiều tài nguyên bộ xử lý và dung lượng trống trên đĩa được mã hóa. Để xem bao nhiêu phần trăm ổ đĩa của bạn đã được mã hóa, hãy tìm biểu tượng trong vùng thông báo "Mã hóa %volume_name% bằng Mã hóa ổ đĩa BitLocker" và nhấp đúp chuột vào nó. Biểu tượng và hộp thoại thông báo BitLocker "Mã hóa ổ đĩa BitLocker" hiển thị dưới đây:

    9. Cơm. 7. Thực hiện mã hóa

  9. Khi quá trình mã hóa ổ đĩa BitLocker hoàn tất, bạn sẽ được thông báo rằng quá trình mã hóa ổ đĩa bạn chọn đã hoàn tất thành công. Hộp thoại này có thể được nhìn thấy dưới đây:

    10. Cơm. 8. Hoàn tất mã hóa ổ đĩa BitLocker

Đối với những người lần đầu tiên mã hóa ổ đĩa, tôi muốn lưu ý rằng quy trình này không được thực hiện ngay lập tức và chẳng hạn, tôi phải mất 70 phút để mã hóa một ổ đĩa hệ thống có dung lượng 75 gigabyte.

Bây giờ, như bạn có thể thấy trong hình minh họa sau, trong Windows Explorer có một biểu tượng khóa trên biểu tượng phân vùng hệ thống, điều đó có nghĩa là phân vùng này được mã hóa bằng công nghệ BitLocker:

Cơm. 9. Windows Explorer với phân vùng hệ thống được mã hóa

Phần kết luận

Trong bài viết này, bạn đã học cách mã hóa ổ đĩa bằng công nghệ BitLocker. Quá trình chuẩn bị mã hóa và mã hóa chính ổ đĩa bằng giao diện đồ họa được xem xét. Vì ở đầu bài viết, tôi đã chỉ ra rằng hai ổ đĩa sẽ được mã hóa trên máy tính xách tay này, nên trong bài viết tiếp theo, bạn sẽ tìm hiểu cách mã hóa ổ đĩa bằng công nghệ BitLocker bằng tiện ích dòng lệnh quản lý-dbe .

Để bảo vệ chống truy cập trái phép vào các tệp được lưu trữ trên ổ cứng của bạn, cũng như trên các ổ đĩa di động (ổ đĩa ngoài hoặc ổ flash USB), người dùng Windows có khả năng mã hóa chúng bằng phần mềm mã hóa BitLocker và BitLocker To Go tích hợp sẵn.

Chương trình mã hóa BitLocker và BitLocker To Go được cài đặt sẵn trong phiên bản Proffessional và Enterprise của Windows 8/8.1, cũng như trong phiên bản Ultimate của Windows 7. Tuy nhiên, người dùng phiên bản cơ bản của Windows 8.1 cũng có quyền truy cập vào một tùy chọn được gọi là “Mã hóa thiết bị”, hoạt động tương tự như BitLocker trong các phiên bản nâng cao hơn của hệ điều hành.

Kích hoạt phần mềm mã hóa BitLocker

Để bật chương trình mã hóa BitLocker, hãy mở Bảng điều khiển rồi đi tới Hệ thống và bảo mật > Mã hóa ổ đĩa BitLocker. Bạn cũng có thể mở Windows Explorer (“Máy tính”), nhấp chuột phải vào ổ đĩa đã chọn và chọn “Bật BitLocker” từ menu thả xuống. Nếu dòng trên không có trong menu thì bạn đã cài sai phiên bản hệ điều hành Windows.

Để bật BitLocker cho ổ đĩa hệ thống, ổ dữ liệu hoặc ổ đĩa di động, bạn phải chọn Bật BitLocker.

Trong cửa sổ này, có 2 loại mã hóa ổ đĩa BitLocker dành cho bạn:

  • « Mã hóa ổ đĩa BitLocker - Ổ cứng« : Chức năng này cho phép bạn mã hóa toàn bộ đĩa. Khi bạn khởi động máy tính, bộ tải khởi động Windows sẽ tải dữ liệu từ khu vực dành riêng cho hệ thống của ổ cứng và bạn sẽ được nhắc về loại mở khóa mà bạn đã chỉ định, chẳng hạn như nhập mật khẩu. BitLocker sau đó sẽ thực hiện quá trình giải mã dữ liệu và quá trình khởi động Windows sẽ tiếp tục. Nói cách khác, mã hóa có thể được coi là một quá trình xảy ra mà người dùng không nhận thấy. Như thường lệ, bạn làm việc với các tệp và dữ liệu, do đó chúng được mã hóa trên đĩa. Ngoài ra, bạn có thể sử dụng mã hóa không chỉ cho ổ đĩa hệ thống.
  • « Mã hóa ổ đĩa BitLocker - BitLockerĐi« : Các thiết bị lưu trữ ngoài như ổ flash USB hoặc ổ cứng ngoài có thể được mã hóa bằng tiện ích BitLocker To Go. Ví dụ: khi bạn kết nối một thiết bị được mã hóa với máy tính của mình, bạn sẽ được yêu cầu nhập mật khẩu để bảo vệ dữ liệu của bạn khỏi người lạ.

Sử dụng BitLocker không có TPM

Nếu bạn cố mã hóa bằng BitLocker trên PC chưa cài đặt Mô-đun nền tảng đáng tin cậy (TPM), cửa sổ bên dưới sẽ mở ra yêu cầu bạn bật tùy chọn “Cho phép BitLocker không có TPM tương thích”.

Phần mềm mã hóa BitLocker yêu cầu PC có TPM phần cứng để bảo vệ ổ đĩa hệ thống hoạt động bình thường. Mô-đun TPM là một con chip nhỏ được cài đặt trên bo mạch chủ. BitLocker có thể lưu trữ các khóa mã hóa ở đó, đây là một tùy chọn an toàn hơn so với việc lưu trữ chúng trên ổ dữ liệu thông thường. Mô-đun TPM chỉ cung cấp khóa sau khi khởi động và kiểm tra trạng thái hệ thống, giúp loại bỏ khả năng giải mã dữ liệu trong trường hợp ổ cứng của bạn bị đánh cắp hoặc hình ảnh đĩa mã hóa được tạo để hack trên PC khác.

Để kích hoạt tùy chọn trên, bạn phải có quyền quản trị viên. Bạn chỉ cần mở “Trình chỉnh sửa chính sách nhóm cục bộ” và bật tùy chọn sau.

Nhấn phím tắt Thắng + RĐể khởi chạy hộp thoại Run, hãy nhập lệnh gpedit.msc. Tiếp theo, đi đến các điểm sau - Cấu hình máy tính > Mẫu quản trị > Cấu phần Windows > Mã hóa ổ đĩa BitLocker > Ổ đĩa hệ điều hành. Nhấp đúp vào tùy chọn “Yêu cầu xác thực bổ sung khi khởi động”, chọn tùy chọn “Đã bật” và chọn hộp kiểm “Cho phép BitLocker không có TPM tương thích” ). Nhấp vào “Áp dụng” để lưu cài đặt.

Chọn phương pháp mở khóa đĩa

Nếu bạn hoàn thành thành công các bước trên, bạn sẽ được nhắc với cửa sổ “Chọn cách mở khóa ổ đĩa khi khởi động”. Nếu PC của bạn không có mô-đun TPM, thì bạn có hai tùy chọn: nhập mật khẩu hoặc sử dụng ổ flash USB đặc biệt (thẻ thông minh) làm khóa mở khóa.

Nếu có mô-đun TPM trên bo mạch chủ thì bạn sẽ có nhiều tùy chọn hơn. Ví dụ: có thể định cấu hình mở khóa tự động khi máy tính khởi động - tất cả các khóa sẽ được lưu trữ trong mô-đun TPM và sẽ tự động được sử dụng để giải mã dữ liệu trên đĩa. Bạn cũng có thể đặt mật khẩu PIN trên bộ nạp khởi động, sau đó sẽ mở khóa các khóa giải mã được lưu trữ trong TPM và sau đó là toàn bộ đĩa.

Chọn phương pháp phù hợp với bạn nhất và làm theo hướng dẫn của trình cài đặt.

Tạo khóa dự phòng

BitLocker cũng cung cấp cho bạn khả năng tạo khóa dự phòng. Khóa này sẽ được sử dụng để truy cập dữ liệu được mã hóa nếu bạn quên hoặc mất khóa chính, chẳng hạn như quên mật khẩu truy cập khóa hoặc chuyển ổ cứng sang PC mới với mô-đun TPM mới, v.v.

Bạn có thể lưu khóa vào một tệp, in, đặt nó vào ổ USB ngoài hoặc lưu vào tài khoản Microsoft của bạn (dành cho người dùng Windows 8 và 8.1). Điều chính là phải đảm bảo rằng khóa dự phòng này được lưu trữ ở nơi an toàn, nếu không kẻ tấn công có thể dễ dàng vượt qua BitLocker và giành quyền truy cập vào tất cả dữ liệu mà anh ta quan tâm. Nhưng dù vậy, việc tạo khóa dự phòng là bắt buộc, vì nếu làm mất khóa chính mà không có khóa dự phòng, bạn sẽ mất toàn bộ dữ liệu.

Mã hóa và giải mã ổ đĩa

BitLocker sẽ tự động mã hóa các tệp mới khi chúng có sẵn, nhưng bạn phải chọn cách mã hóa phần còn lại của ổ đĩa. Bạn có thể mã hóa toàn bộ ổ đĩa (bao gồm cả dung lượng trống) - tùy chọn thứ hai trong ảnh chụp màn hình bên dưới hoặc chỉ các tệp - tùy chọn đầu tiên, tùy chọn này sẽ tăng tốc quá trình mã hóa.

Khi sử dụng BitLocker trên PC mới (nghĩa là với hệ điều hành mới được cài đặt), tốt hơn là bạn nên sử dụng mã hóa không gian bị chiếm giữ bởi các tệp, vì việc này sẽ mất một chút thời gian. Tuy nhiên, nếu bạn kích hoạt mã hóa cho một ổ đĩa đã được sử dụng trong một thời gian dài, tốt hơn hết bạn nên sử dụng phương pháp trong đó toàn bộ ổ đĩa được mã hóa, ngay cả khi còn dung lượng trống. Phương pháp này sẽ khiến bạn không thể khôi phục các tệp đã xóa trước đó mà không được mã hóa. Vì vậy, phương pháp đầu tiên nhanh hơn, nhưng phương pháp thứ hai đáng tin cậy hơn.

Khi thiết lập thêm mã hóa, BitLocker sẽ phân tích hệ thống và khởi động lại máy tính. Sau khi khởi động lại PC, quá trình mã hóa sẽ bắt đầu. Nó sẽ được hiển thị trong khay dưới dạng một biểu tượng, với sự trợ giúp của nó, bạn sẽ thấy phần trăm tiến trình của quá trình. Bạn sẽ tiếp tục có thể sử dụng máy tính của mình nhưng hệ thống sẽ bị chậm một chút do quá trình mã hóa tệp đang chạy cùng lúc.

Sau khi mã hóa hoàn tất và lần tiếp theo bạn khởi động PC, BitLocker sẽ hiển thị cho bạn một cửa sổ trong đó bạn cần nhập mật khẩu, mã PIN hoặc cắm ổ USB làm khóa (tùy thuộc vào cách bạn đã định cấu hình quyền truy cập trước đó vào chìa khóa).

Nhấn phím Escape trong cửa sổ này sẽ đưa bạn đến cửa sổ để nhập khóa dự phòng nếu mất quyền truy cập vào khóa chính.

Nếu bạn chọn phương thức mã hóa BitLocker To Go cho các thiết bị bên ngoài, bạn sẽ thấy một trình hướng dẫn thiết lập tương tự, tuy nhiên, trong trường hợp này, bạn sẽ không cần phải khởi động lại máy tính của mình. Không ngắt kết nối ổ đĩa ngoài cho đến khi quá trình mã hóa hoàn tất.

Lần tiếp theo khi bạn kết nối thiết bị được mã hóa với PC, bạn sẽ được yêu cầu nhập mật khẩu hoặc thẻ thông minh để mở khóa. Thiết bị được bảo vệ bởi BitLocker sẽ xuất hiện với biểu tượng tương ứng trong File Manager hoặc Windows Explorer.

Bạn có thể quản lý ổ đĩa được mã hóa (thay đổi mật khẩu, tắt mã hóa, tạo bản sao lưu của khóa, v.v.) bằng cửa sổ BitLocker Control Panel. Nhấp chuột phải vào ổ đĩa được mã hóa và chọn "Quản lý BitLocker" sẽ đưa bạn đến đích.

Giống như bất kỳ phương pháp bảo vệ thông tin nào khác, mã hóa thời gian thực khi đang di chuyển bằng BitLocker tất nhiên sẽ chiếm một số tài nguyên trên máy tính của bạn. Điều này chủ yếu sẽ dẫn đến tăng tải CPU do mã hóa dữ liệu liên tục từ đĩa này sang đĩa khác. Nhưng mặt khác, đối với những người mà thông tin của họ phải được bảo vệ một cách đáng tin cậy khỏi những con mắt tò mò, thông tin có thể cung cấp những con át chủ bài độc hại trong tay những kẻ tấn công, thì việc mất năng suất này là giải pháp thỏa hiệp nhất.

Xin chào các bạn! Trong bài viết này, chúng tôi sẽ tiếp tục nghiên cứu các hệ thống được tích hợp trong Windows được thiết kế để cải thiện tính bảo mật cho dữ liệu của chúng tôi. Hôm nay nó là Hệ thống mã hóa đĩa Bitlocker. Mã hóa dữ liệu là cần thiết để ngăn chặn người lạ sử dụng thông tin của bạn. Làm thế nào cô ấy sẽ đến được với họ là một câu hỏi khác.

Mã hóa là quá trình chuyển đổi dữ liệu để chỉ những người phù hợp mới có thể truy cập được. Chìa khóa hoặc mật khẩu thường được sử dụng để truy cập.

Mã hóa toàn bộ ổ đĩa sẽ ngăn chặn quyền truy cập vào dữ liệu khi bạn kết nối ổ cứng với máy tính khác. Hệ thống của kẻ tấn công có thể được cài đặt một hệ điều hành khác để vượt qua lớp bảo vệ, nhưng điều này sẽ không giúp ích gì nếu bạn đang sử dụng BitLocker.

Công nghệ BitLocker xuất hiện cùng với việc phát hành hệ điều hành Windows Vista và được cải tiến trong Windows 7. Bitlocker có sẵn trong các phiên bản Windows 7 Ultimate và Enterprise cũng như trong Windows 8 Pro. Chủ sở hữu các phiên bản khác sẽ phải tìm kiếm giải pháp thay thế.

Nếu không đi sâu vào chi tiết thì nó trông như thế này. Hệ thống mã hóa toàn bộ đĩa và cung cấp cho bạn chìa khóa của nó. Nếu bạn mã hóa đĩa hệ thống, máy tính sẽ không khởi động được nếu không có chìa khóa của bạn. Điều tương tự như chìa khóa căn hộ. Bạn có chúng, bạn sẽ tham gia vào nó. Bị mất, bạn cần sử dụng một cái dự phòng (mã khôi phục (được cấp trong quá trình mã hóa)) và thay đổi khóa (thực hiện lại mã hóa bằng các khóa khác)

Để bảo vệ đáng tin cậy, bạn nên có TPM (Mô-đun nền tảng đáng tin cậy) trong máy tính của mình. Nếu nó tồn tại và phiên bản của nó là 1.2 trở lên thì nó sẽ kiểm soát quy trình và bạn sẽ có các phương pháp bảo vệ mạnh mẽ hơn. Nếu không có thì chỉ có thể sử dụng phím trên ổ USB.

BitLocker hoạt động như sau. Mỗi khu vực của đĩa được mã hóa riêng bằng một khóa (khóa mã hóa toàn bộ ổ đĩa, FVEK). Thuật toán AES với khóa 128 bit và bộ khuếch tán được sử dụng. Khóa có thể được thay đổi thành 256-bit trong chính sách bảo mật nhóm.

Khi mã hóa hoàn tất bạn sẽ thấy hình ảnh sau

Đóng cửa sổ và kiểm tra xem khóa khởi động và khóa khôi phục có ở nơi an toàn hay không.

Mã hóa ổ đĩa flash - BitLocker To Go

Tại sao bạn nên tạm dừng mã hóa? Để BitLocker không chặn ổ đĩa của bạn và không cần dùng đến quy trình khôi phục. Các tham số hệ thống (BIOS và nội dung phân vùng khởi động) bị khóa trong quá trình mã hóa để bảo vệ bổ sung. Việc thay đổi chúng có thể chặn máy tính của bạn.

Nếu bạn chọn Quản lý BitLocker, bạn có thể Lưu hoặc In Khóa khôi phục và Sao chép Khóa khởi động

Nếu một trong các khóa (khóa khởi động hoặc khóa khôi phục) bị mất, bạn có thể khôi phục chúng tại đây.

Quản lý mã hóa ổ đĩa ngoài

Các chức năng sau đây có sẵn để quản lý cài đặt mã hóa của ổ đĩa flash:

Bạn có thể thay đổi mật khẩu để mở khóa. Bạn chỉ có thể xóa mật khẩu nếu bạn sử dụng thẻ thông minh để mở khóa. Bạn cũng có thể lưu hoặc in khóa khôi phục và tự động bật mở khóa đĩa cho máy tính này.

Khôi phục quyền truy cập đĩa

Khôi phục quyền truy cập vào đĩa hệ thống

Nếu ổ đĩa flash có khóa nằm ngoài vùng truy cập thì khóa khôi phục sẽ hoạt động. Khi khởi động máy tính bạn sẽ thấy như sau:

Để khôi phục quyền truy cập và khởi động Windows, nhấn Enter

Bạn sẽ thấy một màn hình yêu cầu bạn nhập khóa khôi phục.

Khi bạn nhập chữ số cuối cùng, miễn là khóa khôi phục chính xác, hệ điều hành sẽ tự động khởi động.

Khôi phục quyền truy cập vào ổ đĩa di động

Để khôi phục quyền truy cập vào thông tin trên ổ đĩa flash hoặc ổ cứng gắn ngoài, hãy nhấp vào Bạn quên mật khẩu?

Chọn Nhập khóa khôi phục

và nhập mã 48 chữ số khủng khiếp này. Bấm tiếp

Nếu key khôi phục phù hợp, đĩa sẽ được mở khóa

Một liên kết xuất hiện để Quản lý BitLocker, nơi bạn có thể thay đổi mật khẩu để mở khóa ổ đĩa.

Phần kết luận

Trong bài viết này, chúng ta đã tìm hiểu cách bảo vệ thông tin của mình bằng cách mã hóa thông tin đó bằng công cụ BitLocker tích hợp sẵn. Thật đáng thất vọng khi công nghệ này chỉ có trong các phiên bản Windows cũ hơn hoặc nâng cao. Cũng đã rõ lý do tại sao phân vùng ẩn và có khả năng khởi động có kích thước 100 MB này lại được tạo khi thiết lập đĩa bằng Windows.

Có lẽ tôi sẽ sử dụng mã hóa ổ đĩa flash hoặc ổ cứng ngoài. Nhưng điều này khó xảy ra vì có những dịch vụ thay thế tốt dưới dạng dịch vụ lưu trữ dữ liệu đám mây như DropBox, Google Drive, Yandex Drive, v.v.