Thực đơn
trang chủExcel

Cách mã hóa ổ đĩa hoặc ổ flash bằng dữ liệu bí mật bằng Bitlocker. Cách khôi phục file bị BitLocker mã hóa

Không ai ngạc nhiên trước thực tế là thông tin cá nhân thuần túy hoặc dữ liệu công ty có giá trị cao có thể được lưu trữ trên máy tính cá nhân. Sẽ là điều không mong muốn nếu thông tin đó rơi vào tay các bên thứ ba có thể sử dụng nó, gây ra vấn đề nghiêm trọng cho chủ sở hữu cũ của PC.

Tùy thuộc vào hoàn cảnh, Bitlocker có thể được kích hoạt hoặc hủy kích hoạt.

Chính vì lý do này mà nhiều người dùng bày tỏ mong muốn thực hiện một số hành động nhằm hạn chế quyền truy cập vào tất cả các tệp được lưu trữ trên máy tính. Một thủ tục như vậy thực sự tồn tại. Sau khi thực hiện một số thao tác nhất định, không người ngoài nào nếu không biết mật khẩu hoặc chìa khóa để khôi phục nó sẽ có thể truy cập vào tài liệu.

Bạn có thể bảo vệ thông tin quan trọng khỏi bị bên thứ ba truy cập bằng cách mã hóa ổ đĩa của mình bằng Bitlocker. Những hành động như vậy giúp đảm bảo tính bảo mật hoàn toàn của tài liệu không chỉ trên một PC cụ thể mà còn trong trường hợp ai đó tháo ổ cứng và lắp nó vào một máy tính cá nhân khác.

Thuật toán kích hoạt và vô hiệu hóa chức năng

Mã hóa đĩa Bitlocker hoạt động trên Windows 7, 8 và 10, nhưng không phải tất cả các phiên bản. Người ta giả định rằng bo mạch chủ được trang bị máy tính cụ thể mà người dùng muốn thực hiện mã hóa phải có mô-đun TPM.

KHUYÊN BẢO. Đừng buồn nếu bạn biết chắc chắn rằng không có mô-đun đặc biệt nào như vậy trên bo mạch chủ của mình. Có một số thủ thuật cho phép bạn "bỏ qua" yêu cầu đó và theo đó, cài đặt mà không cần mô-đun như vậy.

Trước khi bạn bắt đầu quá trình mã hóa tất cả các tệp, điều quan trọng cần lưu ý là quy trình này khá dài. Rất khó để đưa ra một khoảng thời gian chính xác trước. Tất cả phụ thuộc vào lượng thông tin trên ổ cứng. Trong quá trình mã hóa, Windows 10 sẽ tiếp tục hoạt động nhưng khó có thể làm bạn hài lòng về hiệu suất của nó vì chỉ báo hiệu suất sẽ giảm đáng kể.

Kích hoạt tính năng

Nếu Windows 10 được cài đặt trên máy tính của bạn và bạn có mong muốn tích cực kích hoạt mã hóa dữ liệu, hãy sử dụng mẹo của chúng tôi để bạn không chỉ thành công mà còn là cách để hiện thực hóa mong muốn này không khó. Ban đầu, hãy tìm phím “Win” trên bàn phím của bạn, đôi khi nó đi kèm với biểu tượng Windows, nhấn giữ và đồng thời giữ phím “R”. Nhấn 2 phím này cùng lúc sẽ mở ra cửa sổ Run.

Trong cửa sổ mở ra, bạn sẽ tìm thấy một dòng trống trong đó bạn cần nhập “gpedit.msc”. Sau khi nhấp vào nút “Ok”, cửa sổ “Trình chỉnh sửa chính sách nhóm cục bộ” mới sẽ mở ra. Trong cửa sổ này, chúng ta có một chặng đường ngắn để đi.

Ở phía bên trái của cửa sổ, tìm và nhấp ngay vào dòng “Cấu hình máy tính”, trong menu con mở ra, tìm “Mẫu quản trị”, sau đó trong menu con tiếp theo mở ra, hãy chuyển đến tùy chọn nằm đầu tiên trong danh sách và được gọi là “Thành phần Windows”.

Bây giờ, hãy di chuyển ánh mắt của bạn sang phía bên phải của cửa sổ, tìm “Mã hóa đĩa Bitlocker” trong đó và nhấp đúp để kích hoạt nó. Bây giờ một danh sách mới sẽ mở ra, trong đó mục tiêu tiếp theo của bạn sẽ là dòng “Đĩa hệ điều hành”. Cũng nhấp vào dòng này, bạn chỉ cần thực hiện thêm một chuyển đổi nữa để đến gần cửa sổ nơi Bitlocker sẽ được cấu hình trực tiếp, cho phép bạn bật nó lên, đó chính xác là những gì bạn muốn.

Tìm dòng “Cài đặt chính sách này cho phép bạn định cấu hình yêu cầu xác thực bổ sung khi khởi động”, nhấp đúp để mở rộng cài đặt này. Trong cửa sổ mở, bạn sẽ tìm thấy từ mong muốn "Bật", bên cạnh đó bạn sẽ tìm thấy một hộp kiểm, trong đó bạn cần đặt một dấu cụ thể dưới dạng đánh dấu sự đồng ý của bạn.

Ngay bên dưới cửa sổ này có một tiểu mục “Nền tảng”, trong đó bạn cần chọn hộp kiểm bên cạnh đề nghị sử dụng BitLocker mà không cần mô-đun đặc biệt. Điều này rất quan trọng, đặc biệt nếu Windows 10 của bạn không có TPM.

Cấu hình của chức năng mong muốn được hoàn thành trong cửa sổ này, vì vậy bạn có thể đóng nó lại. Bây giờ, di chuyển con trỏ chuột qua biểu tượng “Windows”, chỉ cần nhấp chuột phải vào biểu tượng đó, thao tác này sẽ cho phép một menu con bổ sung xuất hiện. Trong đó, bạn sẽ tìm thấy dòng “Bảng điều khiển”, đi tới dòng đó và sau đó đến dòng tiếp theo “Mã hóa đĩa Bitlocker”.

Hãy chắc chắn chỉ ra nơi bạn muốn mã hóa xảy ra. Điều này có thể được thực hiện trên cả ổ cứng và ổ di động. Sau khi chọn đối tượng mong muốn, nhấp vào nút “Bật Bitlocker”.

Bây giờ Windows 10 sẽ bắt đầu một quá trình tự động, đôi khi thu hút sự chú ý của bạn, nhắc bạn chỉ định mong muốn của mình. Tất nhiên, tốt nhất bạn nên tạo bản sao lưu trước khi thực hiện quy trình như vậy. Ngược lại, nếu mật khẩu và khóa của nó bị mất, ngay cả chủ sở hữu PC cũng không thể khôi phục thông tin.

Tiếp theo, quá trình chuẩn bị đĩa cho lần mã hóa tiếp theo sẽ bắt đầu. Trong khi quá trình này đang chạy, bạn không được phép tắt máy tính vì hành động này có thể gây hại nghiêm trọng cho hệ điều hành. Sau lỗi như vậy, bạn sẽ không thể khởi động Windows 10 của mình, do đó, thay vì mã hóa, bạn sẽ phải cài đặt một hệ điều hành mới, điều này sẽ lãng phí thêm thời gian.

Ngay sau khi quá trình chuẩn bị đĩa hoàn tất thành công, quá trình thiết lập thực tế của đĩa để mã hóa sẽ bắt đầu. Bạn sẽ được nhắc nhập mật khẩu, mật khẩu này sẽ cung cấp quyền truy cập sau này vào các tệp được mã hóa. Bạn cũng sẽ được yêu cầu tạo và nhập khóa khôi phục. Cả hai thành phần quan trọng này tốt nhất nên được giữ ở nơi an toàn, tốt nhất là được in ra. Sẽ rất ngu ngốc khi lưu trữ mật khẩu và khóa khôi phục trên chính PC.

Trong quá trình mã hóa, hệ thống có thể hỏi bạn muốn mã hóa cụ thể phần nào. Tốt nhất là áp dụng toàn bộ không gian đĩa theo quy trình này, mặc dù có một tùy chọn để chỉ mã hóa không gian bị chiếm dụng.

Tất cả những gì còn lại là chọn một tùy chọn hành động, chẳng hạn như “Chế độ mã hóa mới”, sau đó chạy quét tự động hệ điều hành BitLocker. Tiếp theo, hệ thống sẽ tiếp tục quá trình một cách an toàn, sau đó bạn sẽ được nhắc khởi động lại PC của mình. Tất nhiên, hãy đáp ứng yêu cầu này và khởi động lại.

Sau lần ra mắt tiếp theo của Windows 10, bạn sẽ tin chắc rằng việc truy cập vào tài liệu mà không cần nhập mật khẩu sẽ không thể thực hiện được. Quá trình mã hóa sẽ tiếp tục, bạn có thể kiểm soát nó bằng cách nhấp vào biểu tượng BitLocker nằm trong bảng thông báo.

Vô hiệu hóa tính năng

Nếu vì lý do nào đó, các tệp trên máy tính của bạn không còn có tầm quan trọng cao và bạn không thực sự thích nhập mật khẩu mỗi lần để truy cập chúng, thì chúng tôi khuyên bạn chỉ cần tắt chức năng mã hóa.

Để thực hiện những hành động như vậy, hãy đi tới bảng thông báo, tìm biểu tượng BitLocker ở đó và nhấp vào biểu tượng đó. Ở cuối cửa sổ đang mở, bạn sẽ tìm thấy dòng “Quản lý BitLocker”, nhấp vào nó.

Bây giờ hệ thống sẽ nhắc bạn chọn hành động nào phù hợp với bạn hơn:

  • lưu trữ khóa khôi phục;
  • thay đổi mật khẩu để truy cập các tập tin được mã hóa;
  • xóa mật khẩu đã đặt trước đó;
  • vô hiệu hóa BitLocker.

Tất nhiên, nếu bạn quyết định tắt BitLocker, bạn nên chọn tùy chọn cuối cùng được đưa ra. Một cửa sổ mới sẽ ngay lập tức xuất hiện trên màn hình, trong đó hệ thống sẽ muốn đảm bảo rằng bạn thực sự muốn tắt chức năng mã hóa.

CHÚ Ý. Ngay khi bạn nhấp vào nút “Tắt BitLocker”, quá trình giải mã sẽ bắt đầu ngay lập tức. Thật không may, quá trình này không có đặc điểm là tốc độ cao, vì vậy bạn chắc chắn sẽ phải chuẩn bị tinh thần trong một thời gian, trong thời gian đó bạn chỉ cần chờ đợi.

Tất nhiên, nếu bạn cần sử dụng máy tính vào thời điểm này, bạn có đủ khả năng chi trả; không có lệnh cấm nào về việc này. Tuy nhiên, bạn nên chuẩn bị tinh thần cho thực tế là hiệu suất của PC tại thời điểm này có thể cực kỳ thấp. Không khó để hiểu nguyên nhân của sự chậm chạp này, bởi hệ điều hành phải mở khóa một lượng thông tin khổng lồ.

Vì vậy, nếu bạn muốn mã hóa hoặc giải mã các tập tin trên máy tính của mình, bạn chỉ cần đọc các đề xuất của chúng tôi, sau đó không vội vàng thực hiện từng bước của thuật toán đã chỉ định và sau khi hoàn thành, hãy vui mừng với kết quả đạt được.

Công nghệ mã hóa BitLocker xuất hiện lần đầu tiên cách đây mười năm và đã thay đổi theo mọi phiên bản Windows. Tuy nhiên, không phải tất cả các thay đổi trong đó đều được thiết kế để tăng sức mạnh mật mã. Trong bài viết này, chúng ta sẽ xem xét kỹ hơn các phiên bản khác nhau của BitLocker (bao gồm cả những phiên bản được cài đặt sẵn trong các bản dựng Windows 10 mới nhất) và chỉ ra cách vượt qua cơ chế bảo vệ tích hợp này.

Tấn công ngoại tuyến

Công nghệ BitLocker là phản ứng của Microsoft trước số lượng ngày càng tăng các cuộc tấn công ngoại tuyến đặc biệt dễ thực hiện đối với máy tính Windows. Bất cứ ai cũng có thể cảm thấy như một hacker. Nó sẽ chỉ tắt máy tính gần nhất, sau đó khởi động lại - với hệ điều hành của nó và một bộ tiện ích di động để tìm mật khẩu, dữ liệu bí mật và mổ xẻ hệ thống.

Vào cuối ngày làm việc, bạn thậm chí có thể tổ chức một chiến dịch nhỏ bằng tuốc nơ vít Phillips - mở máy tính của những nhân viên đã rời đi và lấy ổ đĩa ra khỏi họ. Cũng buổi tối hôm đó, trong môi trường gia đình yên tĩnh, nội dung của các đĩa được trích xuất có thể được phân tích (và thậm chí sửa đổi) theo cả nghìn lẻ một cách. Ngày hôm sau, chỉ cần đến sớm và trả mọi thứ về chỗ cũ.

Tuy nhiên, không nhất thiết phải mở máy tính của người khác ngay tại nơi làm việc. Rất nhiều dữ liệu bí mật bị rò rỉ sau khi tái chế máy tính cũ và thay thế ổ đĩa. Trong thực tế, việc xóa an toàn và định dạng ở mức độ thấp của các đĩa đã ngừng hoạt động được rất ít người thực hiện. Điều gì có thể ngăn chặn các hacker trẻ tuổi và những người sưu tầm xác chết kỹ thuật số?

Như Bulat Okudzhava đã hát: “Cả thế giới được tạo ra bởi những hạn chế, để không phát điên vì hạnh phúc”. Các hạn chế chính trong Windows được đặt ở cấp độ quyền truy cập vào các đối tượng NTFS, không bảo vệ khỏi các cuộc tấn công ngoại tuyến. Windows chỉ cần kiểm tra quyền đọc và ghi trước khi xử lý bất kỳ lệnh nào truy cập vào tệp hoặc thư mục. Phương pháp này khá hiệu quả miễn là tất cả người dùng đều làm việc trong hệ thống được quản trị viên định cấu hình với số lượng tài khoản hạn chế. Tuy nhiên, ngay khi bạn khởi động vào một hệ điều hành khác, sẽ không còn dấu vết nào của sự bảo vệ đó. Người dùng sẽ gán lại quyền truy cập hoặc đơn giản là bỏ qua chúng bằng cách cài đặt trình điều khiển hệ thống tệp khác.

Có nhiều phương pháp bổ sung để chống lại các cuộc tấn công ngoại tuyến, bao gồm bảo mật vật lý và giám sát video, nhưng những phương pháp hiệu quả nhất yêu cầu sử dụng mật mã mạnh. Chữ ký số của bộ nạp khởi động ngăn mã nước ngoài chạy và cách duy nhất để thực sự bảo vệ dữ liệu trên ổ cứng của bạn là mã hóa nó. Tại sao tính năng mã hóa toàn bộ ổ đĩa lại bị thiếu trong Windows lâu đến vậy?

Từ Vista đến Windows 10

Có rất nhiều người khác nhau làm việc tại Microsoft và không phải tất cả họ đều viết mã bằng chân trái. Than ôi, những quyết định cuối cùng trong các công ty phần mềm từ lâu đã không phải do các lập trình viên mà do các nhà tiếp thị và quản lý đưa ra. Điều duy nhất họ thực sự cân nhắc khi phát triển một sản phẩm mới là doanh số bán hàng. Người nội trợ càng dễ hiểu phần mềm thì càng bán được nhiều bản sao của phần mềm này.

“Hãy nghĩ xem, nửa phần trăm khách hàng lo lắng về sự an toàn của họ! Hệ điều hành vốn đã là một sản phẩm phức tạp và ở đây bạn đang khiến đối tượng mục tiêu sợ hãi bằng mã hóa. Chúng ta có thể làm mà không cần anh ấy! Chúng tôi đã quản lý trước đây! - Ban lãnh đạo cấp cao của Microsoft có thể đã lý luận theo cách này cho đến thời điểm XP trở nên phổ biến trong phân khúc doanh nghiệp. Trong số các quản trị viên, có quá nhiều chuyên gia đã nghĩ đến vấn đề bảo mật nên không quan tâm đến ý kiến ​​của họ. Do đó, mã hóa âm lượng được chờ đợi từ lâu đã xuất hiện trong phiên bản tiếp theo của Windows, nhưng chỉ trong phiên bản Enterprise và Ultimate, nhắm đến thị trường doanh nghiệp.

Công nghệ mới được gọi là BitLocker. Đây có lẽ là điều tốt duy nhất về Vista. BitLocker đã mã hóa toàn bộ ổ đĩa, khiến các tệp hệ thống và người dùng không thể đọc được, bỏ qua hệ điều hành đã cài đặt. Các tài liệu quan trọng, ảnh mèo, sổ đăng ký, SAM và BẢO MẬT - mọi thứ đều không thể đọc được khi thực hiện bất kỳ hình thức tấn công ngoại tuyến nào. Theo thuật ngữ của Microsoft, “ổ đĩa” không nhất thiết phải là đĩa như một thiết bị vật lý. Ổ đĩa có thể là một đĩa ảo, một phân vùng logic hoặc ngược lại - sự kết hợp của nhiều ổ đĩa (ổ đĩa được kéo dài hoặc có sọc). Ngay cả một ổ đĩa flash đơn giản cũng có thể được coi là một ổ đĩa có thể kết nối, để mã hóa đầu cuối, bắt đầu với Windows 7, có một cách triển khai riêng - BitLocker To Go (để biết thêm chi tiết, hãy xem thanh bên ở cuối bài viết ).

Với sự ra đời của BitLocker, việc khởi động hệ điều hành của bên thứ ba trở nên khó khăn hơn vì tất cả các bộ tải khởi động đều nhận được chữ ký số. Tuy nhiên, vẫn có thể giải quyết được nhờ Chế độ tương thích. Bạn nên thay đổi chế độ khởi động trong BIOS từ UEFI sang Legacy và tắt chức năng Khởi động an toàn, khi đó ổ flash có khả năng khởi động cũ tốt sẽ trở lại hữu ích.

Cách sử dụng BitLocker

Hãy xem phần thực tế sử dụng Windows 10 làm ví dụ. Trong bản dựng 1607, BitLocker có thể được kích hoạt thông qua bảng điều khiển (phần "Hệ thống và bảo mật", tiểu mục "Mã hóa ổ đĩa BitLocker").


Tuy nhiên, nếu bo mạch chủ không có bộ xử lý mật mã TPM phiên bản 1.2 trở lên thì không thể sử dụng BitLocker. Để kích hoạt nó, bạn cần phải đi tới trình chỉnh sửa chính sách nhóm cục bộ (gpedit.msc) và mở rộng nhánh “Cấu hình máy tính -> Mẫu quản trị -> Cấu phần Windows -> Mã hóa ổ đĩa BitLocker -> Ổ đĩa hệ điều hành” thành cài đặt “ Cài đặt chính sách này cho phép bạn định cấu hình yêu cầu xác thực bổ sung khi khởi động." Trong đó, bạn cần tìm cài đặt “Cho phép BitLocker không có TPM tương thích…” và kích hoạt nó.


Trong các phần liền kề của chính sách cục bộ, bạn có thể chỉ định cài đặt BitLocker bổ sung, bao gồm độ dài khóa và chế độ mã hóa AES.


Sau khi áp dụng các chính sách mới, hãy quay lại bảng điều khiển và làm theo hướng dẫn của trình hướng dẫn thiết lập mã hóa. Để bảo vệ thêm, bạn có thể chọn nhập mật khẩu hoặc kết nối ổ flash USB cụ thể.



Mặc dù BitLocker được coi là công nghệ mã hóa toàn bộ đĩa nhưng nó chỉ cho phép mã hóa một phần các khu vực bị chiếm dụng. Điều này nhanh hơn việc mã hóa mọi thứ, nhưng phương pháp này được coi là kém tin cậy hơn. Nếu chỉ vì trong trường hợp này, các tệp đã xóa nhưng chưa bị ghi đè vẫn có sẵn để đọc trực tiếp trong một thời gian.


Mã hóa toàn bộ và một phần

Sau khi thiết lập tất cả các tham số, việc còn lại là khởi động lại. Windows sẽ yêu cầu bạn nhập mật khẩu (hoặc lắp ổ flash USB), sau đó sẽ khởi động bình thường và bắt đầu quá trình mã hóa ổ đĩa trong nền.


Tùy thuộc vào cài đặt đã chọn, kích thước ổ đĩa, tần số bộ xử lý và sự hỗ trợ của nó cho các lệnh AES riêng lẻ, quá trình mã hóa có thể mất từ ​​vài phút đến vài giờ.


Sau khi quá trình này hoàn tất, các mục mới sẽ xuất hiện trong menu ngữ cảnh Explorer: thay đổi mật khẩu của bạn và nhanh chóng chuyển đến cài đặt BitLocker.


Xin lưu ý rằng tất cả các hành động ngoại trừ việc thay đổi mật khẩu đều yêu cầu quyền quản trị viên. Logic ở đây rất đơn giản: vì bạn đã đăng nhập thành công vào hệ thống, nghĩa là bạn biết mật khẩu và có quyền thay đổi nó. Điều này hợp lý đến mức nào? Chúng tôi sẽ tìm ra sớm!


Cách BitLocker hoạt động

Độ tin cậy của BitLocker không nên được đánh giá bằng danh tiếng của AES. Một tiêu chuẩn mã hóa phổ biến có thể không có điểm yếu rõ ràng, nhưng việc triển khai nó trong các sản phẩm mật mã cụ thể thường có rất nhiều điểm yếu. Microsoft không tiết lộ mã đầy đủ của công nghệ BitLocker. Người ta chỉ biết rằng trong các phiên bản Windows khác nhau, nó dựa trên các sơ đồ khác nhau và những thay đổi không được nhận xét dưới bất kỳ hình thức nào. Hơn nữa, trong bản dựng 10586 của Windows 10, nó đơn giản biến mất và hai bản dựng sau đó nó lại xuất hiện. Tuy nhiên, điều đầu tiên trước tiên.

Phiên bản đầu tiên của BitLocker sử dụng chế độ chuỗi khối văn bản mã hóa (CBC). Ngay cả khi đó, những thiếu sót của nó vẫn rõ ràng: dễ tấn công một văn bản đã biết, khả năng chống lại các cuộc tấn công như thay thế, v.v. Vì vậy, Microsoft ngay lập tức quyết định tăng cường bảo vệ. Đã có trong Vista, thuật toán Elephant Diffuser đã được thêm vào sơ đồ AES-CBC, khiến việc so sánh trực tiếp các khối văn bản mã hóa trở nên khó khăn. Với nó, nội dung giống nhau của hai khu vực cho kết quả hoàn toàn khác nhau sau khi mã hóa bằng một khóa, điều này làm phức tạp việc tính toán mẫu tổng thể. Tuy nhiên, theo mặc định, khóa này ngắn - 128 bit. Thông qua các chính sách quản trị, nó có thể được mở rộng lên 256 bit, nhưng liệu điều đó có đáng làm không?

Đối với người dùng, sau khi thay đổi khóa, bên ngoài sẽ không có gì thay đổi - cả độ dài của mật khẩu đã nhập cũng như tốc độ thao tác chủ quan. Giống như hầu hết các hệ thống mã hóa toàn bộ đĩa, BitLocker sử dụng nhiều khóa... và không có khóa nào trong số đó hiển thị cho người dùng. Đây là sơ đồ của BitLocker.

  1. Khi BitLocker được kích hoạt, chuỗi bit chính được tạo bằng trình tạo số giả ngẫu nhiên. Đây là khóa mã hóa âm lượng - FVEK (khóa mã hóa âm lượng đầy đủ). Với điều này, nội dung của từng khu vực hiện đã được mã hóa.
  2. Đổi lại, FVEK được mã hóa bằng một khóa khác - VMK (khóa chính của ổ đĩa) - và được lưu trữ ở dạng mã hóa trong siêu dữ liệu của ổ đĩa.
  3. Bản thân VMK cũng được mã hóa nhưng theo những cách khác nhau tùy theo quyết định của người dùng.
  4. Trên các bo mạch chủ mới, khóa VMK được mã hóa theo mặc định bằng khóa SRK (khóa gốc lưu trữ), khóa này được lưu trữ trong bộ xử lý mật mã riêng - mô-đun nền tảng đáng tin cậy (TPM). Người dùng không có quyền truy cập vào nội dung TPM và nó là duy nhất cho mỗi máy tính.
  5. Nếu không có chip TPM riêng trên bo mạch thì thay vì SRK, mã PIN do người dùng nhập hoặc ổ flash USB theo yêu cầu với thông tin chính được ghi trước trên đó sẽ được sử dụng để mã hóa khóa VMK.
  6. Ngoài TPM hoặc ổ flash, bạn có thể bảo vệ khóa VMK bằng mật khẩu.

Mô hình hoạt động chung của BitLocker này đã tiếp tục qua các bản phát hành tiếp theo của Windows cho đến ngày nay. Tuy nhiên, phương pháp tạo khóa và chế độ mã hóa của BitLocker đã thay đổi. Vì vậy, vào tháng 10 năm 2014, Microsoft đã âm thầm loại bỏ thuật toán Elephant Diffuser bổ sung, chỉ để lại sơ đồ AES-CBC với những thiếu sót đã biết. Lúc đầu, không có tuyên bố chính thức nào được đưa ra về việc này. Mọi người chỉ đơn giản là được cung cấp một công nghệ mã hóa yếu có cùng tên dưới vỏ bọc là một bản cập nhật. Những lời giải thích mơ hồ cho bước này được đưa ra sau khi các nhà nghiên cứu độc lập nhận thấy sự đơn giản hóa trong BitLocker.

Về mặt chính thức, việc từ bỏ Elephant Diffuser là cần thiết để đảm bảo Windows tuân thủ các yêu cầu của Tiêu chuẩn xử lý thông tin liên bang Hoa Kỳ (FIPS), nhưng một lập luận bác bỏ phiên bản này: Vista và Windows 7, sử dụng Elephant Diffuser, đã được bán mà không gặp vấn đề gì ở Mỹ. .

Một lý do tưởng tượng khác để từ bỏ thuật toán bổ sung là thiếu khả năng tăng tốc phần cứng cho Elephant Diffuser và giảm tốc độ khi sử dụng nó. Tuy nhiên, trong những năm trước, khi bộ xử lý chậm hơn, tốc độ mã hóa ở mức độ nào đó vẫn đạt yêu cầu. Và AES tương tự đã được sử dụng rộng rãi ngay cả trước khi các bộ hướng dẫn riêng biệt và các chip chuyên dụng xuất hiện để tăng tốc nó. Theo thời gian, có thể tăng tốc phần cứng cho Elephant Diffuser hoặc ít nhất là cho khách hàng lựa chọn giữa tốc độ và bảo mật.

Một phiên bản khác, không chính thức trông thực tế hơn. "Con voi" đã can thiệp vào các nhân viên của NSA, những người muốn tốn ít công sức hơn để giải mã đĩa tiếp theo và Microsoft sẵn sàng hợp tác với các cơ quan chức năng ngay cả trong trường hợp yêu cầu của họ không hoàn toàn hợp pháp. Gián tiếp xác nhận thuyết âm mưu là trước Windows 8, khi tạo khóa mã hóa trong BitLocker, trình tạo số giả ngẫu nhiên được tích hợp trong Windows đã được sử dụng. Trong nhiều bản phát hành (nếu không phải tất cả) của Windows, đây là Dual_EC_DRBG - một “PRNG mạnh về mặt mật mã” do Cơ quan An ninh Quốc gia Hoa Kỳ phát triển và chứa một số lỗ hổng cố hữu.

Tất nhiên, việc bí mật làm suy yếu tính năng mã hóa tích hợp đã gây ra làn sóng chỉ trích mạnh mẽ. Dưới áp lực của cô, Microsoft đã viết lại BitLocker một lần nữa, thay thế PRNG bằng CTR_DRBG trong các bản phát hành Windows mới. Ngoài ra, trong Windows 10 (bắt đầu từ bản dựng 1511), sơ đồ mã hóa mặc định là AES-XTS, không bị ảnh hưởng bởi thao tác đối với các khối văn bản mã hóa. Trong các bản dựng mới nhất của “hàng chục”, những thiếu sót đã biết khác của BitLocker cũng đã được khắc phục, nhưng vấn đề chính vẫn còn đó. Nó vô lý đến mức khiến những đổi mới khác trở nên vô nghĩa. Chúng ta đang nói về các nguyên tắc quản lý chìa khóa.

Nguyên tắc Los Alamos

Nhiệm vụ giải mã ổ BitLocker cũng được đơn giản hóa do Microsoft đang tích cực quảng bá một phương pháp thay thế để khôi phục quyền truy cập dữ liệu thông qua Data Recovery Agent. Điểm nổi bật của “Tác nhân” là nó mã hóa các khóa mã hóa của tất cả các ổ đĩa trong mạng doanh nghiệp bằng một khóa truy cập duy nhất. Khi đã có nó, bạn có thể giải mã bất kỳ khóa nào và do đó, bất kỳ đĩa nào được sử dụng bởi cùng một công ty. Thoải mái? Có, đặc biệt là để hack.

Ý tưởng sử dụng một chìa khóa cho tất cả các ổ khóa đã bị xâm phạm nhiều lần nhưng nó vẫn tiếp tục được trả lại dưới hình thức này hay hình thức khác để thuận tiện. Đây là cách Ralph Leighton ghi lại những hồi ức của Richard Feynman về một tình tiết đặc trưng trong công trình của ông về Dự án Manhattan tại Phòng thí nghiệm Los Alamos: “...Tôi đã mở ba chiếc két - và cả ba chiếc đều có cùng một mã số.<…>Tôi đã giải quyết tất cả: Tôi mở két đựng tất cả bí mật của bom nguyên tử - công nghệ sản xuất plutonium, mô tả quá trình tinh chế, thông tin về lượng vật liệu cần thiết, cách thức hoạt động của bom, cách tạo ra neutron, quả bom hoạt động như thế nào, kích thước của nó ra sao - tóm lại là mọi thứ mà họ biết ở Los Alamos, cả căn bếp!”.

BitLocker phần nào gợi nhớ đến thiết kế an toàn được mô tả trong một đoạn khác của cuốn sách Chắc chắn bạn đang đùa, ông Feynman! Chiếc két sắt ấn tượng nhất trong phòng thí nghiệm tối mật cũng có lỗ hổng tương tự như một chiếc tủ hồ sơ đơn giản. “...Đây là một đại tá, và ông ta có một chiếc két sắt hai cửa phức tạp hơn nhiều với tay cầm lớn có thể kéo bốn thanh thép dày 3/4 inch ra khỏi khung.<…>Tôi kiểm tra mặt sau của một trong những cánh cửa bằng đồng hùng vĩ và phát hiện ra rằng mặt số được kết nối với một chiếc khóa nhỏ trông giống hệt chiếc khóa trên tủ quần áo Los Alamos của tôi.<…>Rõ ràng là hệ thống đòn bẩy phụ thuộc vào cùng một thanh nhỏ dùng để khóa các tủ hồ sơ.<…>. Giả vờ làm một việc gì đó, tôi bắt đầu quay số một cách ngẫu nhiên.<…>Hai phút sau - nhấp chuột! - két sắt đã mở.<…>Khi cửa an toàn hoặc ngăn kéo trên cùng của tủ hồ sơ mở, rất dễ tìm thấy mã số. Đây chính xác là những gì tôi đã làm khi bạn đọc báo cáo của tôi, chỉ để chứng minh cho bạn thấy sự nguy hiểm.".

Bản thân các thùng chứa tiền điện tử BitLocker khá an toàn. Nếu họ mang đến cho bạn một ổ đĩa flash không biết từ đâu đến, được mã hóa bằng BitLocker To Go, thì bạn khó có thể giải mã nó trong thời gian có thể chấp nhận được. Tuy nhiên, kịch bản thực tế của việc sử dụng ổ đĩa được mã hóa và phương tiện di động có rất nhiều lỗ hổng có thể dễ dàng khai thác để vượt qua BitLocker.

Lỗ hổng tiềm ẩn

Có thể bạn đã nhận thấy rằng mình phải đợi rất lâu khi kích hoạt BitLocker lần đầu tiên. Điều này không có gì đáng ngạc nhiên - quá trình mã hóa từng khu vực có thể mất vài giờ, bởi vì ngay cả việc đọc tất cả các khối của ổ cứng terabyte cũng không thể nhanh hơn. Tuy nhiên, việc vô hiệu hóa BitLocker gần như là ngay lập tức - làm sao có thể được?

Thực tế là khi bị tắt, BitLocker không giải mã được dữ liệu. Tất cả các lĩnh vực sẽ vẫn được mã hóa bằng khóa FVEK. Nói một cách đơn giản, quyền truy cập vào khóa này sẽ không còn bị giới hạn dưới bất kỳ hình thức nào. Tất cả các bước kiểm tra sẽ bị vô hiệu hóa và VMK sẽ vẫn được ghi lại trong siêu dữ liệu ở dạng văn bản rõ ràng. Mỗi khi bạn bật máy tính, bộ tải khởi động hệ điều hành sẽ đọc VMK (không cần kiểm tra TPM, yêu cầu khóa trên ổ đĩa flash hoặc mật khẩu), tự động giải mã FVEK bằng nó và sau đó tất cả các tệp khi chúng được truy cập. Đối với người dùng, mọi thứ sẽ giống như hoàn toàn thiếu mã hóa, nhưng những người chú ý nhất có thể nhận thấy hiệu suất của hệ thống con đĩa giảm nhẹ. Chính xác hơn, tốc độ không tăng sau khi tắt mã hóa.

Có điều gì đó thú vị khác về kế hoạch này. Bất chấp tên gọi (công nghệ mã hóa toàn bộ đĩa), một số dữ liệu vẫn không được mã hóa khi sử dụng BitLocker. MBR và BS vẫn mở (trừ khi đĩa được khởi tạo trong GPT), các cung và siêu dữ liệu bị hỏng. Bộ nạp khởi động mở mang lại không gian cho trí tưởng tượng. Các khu vực giả xấu thuận tiện cho việc ẩn rootkit và phần mềm độc hại khác, đồng thời siêu dữ liệu chứa rất nhiều điều thú vị, bao gồm cả bản sao của khóa. Nếu BitLocker đang hoạt động thì chúng sẽ được mã hóa (nhưng yếu hơn FVEK mã hóa nội dung của các cung) và nếu bị vô hiệu hóa, chúng sẽ chỉ nằm yên. Đây đều là những vectơ tấn công tiềm năng. Chúng có tiềm năng bởi vì ngoài chúng ra, còn có những cái đơn giản hơn và phổ quát hơn nhiều.

Chìa khóa dự phòng

Ngoài FVEK, VMK và SRK, BitLocker còn sử dụng một loại khóa khác được tạo “để đề phòng”. Đây là các khóa khôi phục, là một phương tiện tấn công phổ biến khác. Người dùng sợ quên mật khẩu và mất quyền truy cập vào hệ thống, và chính Windows cũng khuyến nghị họ nên đăng nhập khẩn cấp. Để thực hiện việc này, trình hướng dẫn mã hóa BitLocker sẽ nhắc bạn tạo khóa khôi phục ở giai đoạn cuối. Không thể từ chối sự sáng tạo của nó. Bạn chỉ có thể chọn một trong các tùy chọn xuất chính, mỗi tùy chọn đều rất dễ bị tấn công.

Trong cài đặt mặc định, khóa được xuất dưới dạng tệp văn bản đơn giản có tên dễ nhận biết: “Khóa khôi phục BitLocker #”, trong đó ID máy tính được viết thay vì # (vâng, ngay trong tên tệp!). Bản thân chìa khóa trông như thế này.


Nếu bạn quên (hoặc chưa từng biết) mật khẩu mình đã đặt trong BitLocker, thì bạn chỉ cần tìm tệp có khóa khôi phục. Chắc chắn nó sẽ được lưu trong số các tài liệu của người dùng hiện tại hoặc trên ổ đĩa flash của anh ta. Có lẽ nó thậm chí còn được in trên một tờ giấy, như Microsoft khuyến nghị. Chỉ cần đợi cho đến khi đồng nghiệp của bạn nghỉ ngơi (như thường lệ, quên khóa máy tính) và bắt đầu tìm kiếm.


Đăng nhập bằng khóa khôi phục

Để nhanh chóng xác định vị trí khóa khôi phục, bạn nên giới hạn tìm kiếm theo phần mở rộng (txt), ngày tạo (nếu bạn có thể tưởng tượng khi nào BitLocker có thể được bật) và kích thước tệp (1388 byte nếu tệp không được chỉnh sửa). Khi bạn tìm thấy khóa khôi phục, hãy sao chép nó. Với nó, bạn có thể bỏ qua ủy quyền tiêu chuẩn trong BitLocker bất cứ lúc nào. Để thực hiện việc này, chỉ cần nhấn Esc và nhập khóa khôi phục. Bạn sẽ đăng nhập mà không gặp bất kỳ sự cố nào và thậm chí có thể thay đổi mật khẩu BitLocker của mình thành mật khẩu tùy chỉnh mà không cần chỉ định mật khẩu cũ! Điều này đã gợi nhớ đến những thủ thuật trong phần “Xây dựng phương Tây”.


Mở BitLocker

Một hệ thống mật mã thực sự là sự dung hòa giữa sự thuận tiện, tốc độ và độ tin cậy. Nó phải cung cấp các quy trình mã hóa minh bạch với khả năng giải mã nhanh chóng, các phương pháp khôi phục mật khẩu đã quên và thao tác thuận tiện với các khóa. Tất cả điều này làm suy yếu bất kỳ hệ thống nào, bất kể nó dựa trên thuật toán mạnh nào. Do đó, không cần thiết phải tìm kiếm các lỗ hổng trực tiếp trong thuật toán Rijndael hoặc trong các sơ đồ khác nhau của tiêu chuẩn AES. Việc phát hiện chúng một cách chính xác trong các chi tiết cụ thể của việc triển khai cụ thể sẽ dễ dàng hơn nhiều.

Trong trường hợp của Microsoft, “những chi tiết cụ thể” như vậy là đủ. Ví dụ: các bản sao của khóa BitLocker được gửi tới SkyDrive và được lưu vào Active Directory theo mặc định. Để làm gì? Chà, nếu bạn làm mất chúng thì sao... hoặc Đặc vụ Smith hỏi. Thật bất tiện khi để khách hàng phải chờ đợi, chứ đừng nói đến đại lý.

Vì lý do này, việc so sánh sức mạnh mật mã của AES-XTS và AES-CBC với Elephant Diffuser là không có cơ sở, cũng như các khuyến nghị về việc tăng độ dài khóa. Bất kể thời gian là bao lâu, kẻ tấn công vẫn có thể dễ dàng lấy được nó ở dạng không được mã hóa.

Lấy khóa ký quỹ từ tài khoản Microsoft hoặc AD là phương pháp chính để phá BitLocker. Nếu người dùng chưa đăng ký tài khoản trên đám mây của Microsoft và máy tính của anh ta không nằm trên một miền thì vẫn sẽ có cách để trích xuất khóa mã hóa. Trong quá trình hoạt động bình thường, các bản sao mở của chúng luôn được lưu trữ trong RAM (nếu không sẽ không có “mã hóa minh bạch”). Điều này có nghĩa là chúng có sẵn trong tệp kết xuất và ngủ đông của nó.

Tại sao chúng lại được giữ ở đó? Cho dù nó có vẻ buồn cười đến mức nào - để thuận tiện. BitLocker được thiết kế để chỉ bảo vệ khỏi các cuộc tấn công ngoại tuyến. Chúng luôn đi kèm với việc khởi động lại và kết nối đĩa với hệ điều hành khác, dẫn đến việc xóa RAM. Tuy nhiên, trong cài đặt mặc định, HĐH sẽ loại bỏ RAM khi xảy ra sự cố (điều này có thể gây ra) và ghi toàn bộ nội dung của nó vào tệp ngủ đông bất cứ khi nào máy tính chuyển sang chế độ ngủ sâu. Do đó, nếu gần đây bạn đã đăng nhập vào Windows khi bật BitLocker, rất có thể bạn sẽ nhận được một bản sao được giải mã của khóa VMK và sử dụng nó để giải mã FVEK cũng như chính dữ liệu dọc theo chuỗi. Chúng ta kiểm tra nhé?

Tất cả các phương pháp hack BitLocker được mô tả ở trên được tập hợp trong một chương trình - Forensic Disk Decryptor, được phát triển bởi công ty trong nước Elcomsoft. Nó có thể tự động truy xuất các khóa mã hóa và gắn các ổ đĩa được mã hóa dưới dạng đĩa ảo, giải mã chúng một cách nhanh chóng.

Ngoài ra, EFDD còn triển khai một phương pháp lấy khóa không hề tầm thường khác - tấn công qua cổng FireWire, phương pháp này được khuyến khích sử dụng trong trường hợp không thể chạy phần mềm của bạn trên máy tính bị tấn công. Chúng tôi luôn cài đặt chương trình EFDD trên máy tính của mình và trên máy tính bị hack, chúng tôi cố gắng thực hiện các bước cần thiết tối thiểu.

Ví dụ: chúng ta chỉ cần khởi chạy một hệ thống thử nghiệm với BitLocker đang hoạt động và "lặng lẽ" thực hiện kết xuất bộ nhớ. Vì vậy, chúng tôi sẽ mô phỏng tình huống trong đó một đồng nghiệp ra ngoài ăn trưa và không khóa máy tính của anh ấy. Chúng tôi khởi chạy RAM Capture và trong vòng chưa đầy một phút, chúng tôi nhận được kết xuất hoàn chỉnh trong một tệp có phần mở rộng .mem và kích thước tương ứng với dung lượng RAM được cài đặt trên máy tính của nạn nhân.


Tạo kết xuất bộ nhớ

Nhìn chung, việc bạn làm gì với bãi rác không quan trọng. Bất kể phần mở rộng là gì, điều này sẽ dẫn đến một tệp nhị phân, sau đó sẽ được EFDD tự động phân tích để tìm kiếm khóa.

Chúng tôi ghi kết xuất vào ổ đĩa flash hoặc chuyển nó qua mạng, sau đó chúng tôi ngồi xuống máy tính và khởi chạy EFDD.

Chọn tùy chọn “Trích xuất khóa” và nhập đường dẫn đến tệp kết xuất bộ nhớ làm nguồn khóa.

Chỉ định nguồn chính

BitLocker là một vùng chứa mật mã điển hình, như PGP Disk hoặc TrueCrypt. Bản thân những vùng chứa này tỏ ra khá đáng tin cậy, nhưng các ứng dụng khách để làm việc với chúng trong Windows sẽ rải rác các khóa mã hóa trong RAM. Vì vậy, EFDD thực hiện một kịch bản tấn công phổ quát. Chương trình ngay lập tức tìm thấy các khóa mã hóa từ cả ba loại vùng chứa tiền điện tử phổ biến. Vì vậy, bạn có thể đánh dấu tất cả các ô trong trường hợp nạn nhân bí mật sử dụng TrueCrypt hoặc PGP!

Sau vài giây, Elcomsoft Forensic Disk Decryptor hiển thị tất cả các khóa được tìm thấy trong cửa sổ của nó. Để thuận tiện, bạn có thể lưu chúng vào một tệp - điều này sẽ hữu ích trong tương lai.

Bây giờ BitLocker không còn là vấn đề nữa! Bạn có thể thực hiện một cuộc tấn công ngoại tuyến cổ điển - ví dụ: lấy ổ cứng của đồng nghiệp ra và sao chép nội dung của nó. Để thực hiện việc này, chỉ cần kết nối nó với máy tính của bạn và chạy EFDD ở chế độ “giải mã hoặc gắn đĩa”.

Sau khi chỉ định đường dẫn đến các tệp bằng các khóa đã lưu, EFDD, theo lựa chọn của bạn, sẽ thực hiện giải mã toàn bộ ổ đĩa hoặc mở ngay nó dưới dạng đĩa ảo. Trong trường hợp sau, các tập tin được giải mã khi chúng được truy cập. Trong mọi trường hợp, không có thay đổi nào được thực hiện đối với tập gốc, vì vậy ngày hôm sau bạn có thể trả lại tập đó như không có chuyện gì xảy ra. Làm việc với EFDD diễn ra không có dấu vết và chỉ với các bản sao dữ liệu và do đó vẫn ở chế độ ẩn.

BitLocker sẽ hoạt động

Bắt đầu với Windows 7, có thể mã hóa ổ đĩa flash, USB-HDD và các phương tiện bên ngoài khác. Công nghệ có tên BitLocker To Go mã hóa ổ đĩa di động giống như ổ đĩa cục bộ. Mã hóa được kích hoạt bằng cách sử dụng mục thích hợp trong menu ngữ cảnh Explorer.


Đối với các ổ đĩa mới, bạn chỉ có thể sử dụng mã hóa cho vùng bị chiếm dụng - dù sao, không gian trống của phân vùng chứa đầy các số 0 và không có gì để ẩn ở đó. Nếu ổ đĩa đã được sử dụng, bạn nên kích hoạt mã hóa toàn bộ trên ổ đĩa đó. Nếu không, vị trí được đánh dấu là miễn phí sẽ vẫn không được mã hóa. Nó có thể chứa các tập tin đã xóa gần đây nhưng chưa bị ghi đè.


Ngay cả việc mã hóa nhanh chỉ khu vực bị chiếm đóng cũng mất từ ​​​​vài phút đến vài giờ. Thời gian này phụ thuộc vào khối lượng dữ liệu, băng thông giao diện, đặc điểm ổ đĩa và tốc độ tính toán mật mã của bộ xử lý. Vì mã hóa đi kèm với nén nên dung lượng trống trên đĩa được mã hóa thường tăng nhẹ.

Lần tới khi bạn kết nối ổ đĩa flash được mã hóa với bất kỳ máy tính nào chạy Windows 7 trở lên, trình hướng dẫn BitLocker sẽ tự động được gọi để mở khóa ổ đĩa. Trong Explorer, trước khi mở khóa, nó sẽ được hiển thị dưới dạng đĩa bị khóa.


Tại đây, bạn có thể sử dụng cả hai tùy chọn đã được thảo luận để bỏ qua BitLocker (ví dụ: tìm kiếm khóa VMK trong tệp kết xuất bộ nhớ hoặc tệp ngủ đông), cũng như các tùy chọn mới liên quan đến khóa khôi phục.

Nếu bạn không biết mật khẩu nhưng đã tìm được một trong các khóa (thủ công hoặc sử dụng EFDD), thì có hai tùy chọn chính để truy cập vào ổ flash được mã hóa:

  • sử dụng trình hướng dẫn BitLocker tích hợp để làm việc trực tiếp với ổ đĩa flash;
  • sử dụng EFDD để giải mã hoàn toàn ổ đĩa flash và tạo hình ảnh theo từng khu vực của nó.

Tùy chọn đầu tiên cho phép bạn truy cập ngay vào các tệp được ghi trên ổ đĩa flash, sao chép hoặc thay đổi chúng, đồng thời ghi tệp của riêng bạn. Tùy chọn thứ hai mất nhiều thời gian hơn (từ nửa giờ), nhưng có những ưu điểm. Hình ảnh theo từng khu vực được giải mã cho phép bạn thực hiện thêm phân tích tinh tế hơn về hệ thống tệp ở cấp độ phòng thí nghiệm pháp y. Trong trường hợp này, bản thân ổ đĩa flash không còn cần thiết nữa và có thể được trả lại không thay đổi.


Hình ảnh thu được có thể được mở ngay lập tức trong bất kỳ chương trình nào hỗ trợ định dạng IMA hoặc được chuyển đổi lần đầu sang định dạng khác (ví dụ: sử dụng UltraISO).


Tất nhiên, ngoài việc phát hiện khóa khôi phục cho BitLocker2Go, EFDD còn hỗ trợ tất cả các phương pháp bỏ qua BitLocker khác. Chỉ cần xem qua tất cả các tùy chọn có sẵn liên tiếp cho đến khi bạn tìm thấy bất kỳ loại khóa nào. Phần còn lại (tối đa FVEK) sẽ được giải mã dọc theo chuỗi và bạn sẽ có toàn quyền truy cập vào đĩa.

kết luận

Công nghệ mã hóa toàn bộ đĩa BitLocker khác nhau giữa các phiên bản Windows. Sau khi cấu hình đầy đủ, nó cho phép bạn tạo các thùng chứa tiền điện tử có sức mạnh tương đương về mặt lý thuyết với TrueCrypt hoặc PGP. Tuy nhiên, cơ chế làm việc với các phím được tích hợp trong Windows đã loại bỏ mọi thủ thuật thuật toán. Cụ thể, khóa VMK dùng để giải mã khóa chính trong BitLocker được khôi phục bằng EFDD trong vài giây sau một bản sao ký quỹ, kết xuất bộ nhớ, tệp ngủ đông hoặc tấn công cổng FireWire.

Sau khi có chìa khóa, bạn có thể thực hiện một cuộc tấn công ngoại tuyến cổ điển, lặng lẽ sao chép và tự động giải mã tất cả dữ liệu trên đĩa “được bảo vệ”. Do đó, BitLocker chỉ nên được sử dụng cùng với các biện pháp bảo mật khác: Hệ thống tệp mã hóa (EFS), Dịch vụ quản lý quyền (RMS), Kiểm soát khởi chạy chương trình, Kiểm soát cài đặt và đính kèm thiết bị, cũng như các chính sách cục bộ nghiêm ngặt hơn và các biện pháp bảo mật chung.

Cập nhật lần cuối vào ngày 28 tháng 2 năm 2017.

Nếu bạn lưu trữ thông tin bí mật trên máy tính thì việc mã hóa ổ cứng hệ thống sẽ là một lựa chọn tuyệt vời để đảm bảo an toàn cho dữ liệu của bạn.

Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách mã hóa ổ đĩa hệ thống của máy tính bằng công cụ mã hóa phổ biến nhất của Microsoft, tiện ích BitLocker, đi kèm với tất cả các phiên bản Windows chuyên nghiệp.

BitLocker là gì và tải xuống ở đâu

Kể từ khi phát hành Windows Vista, Microsoft đã cung cấp một tính năng bảo vệ dữ liệu mới có tên là BitLocker Drive Encryption. Windows 7 giới thiệu BitLocker To Go, mã hóa cho các thiết bị lưu trữ di động như ổ đĩa flash và thẻ SD.

Không cần tải xuống và cài đặt Biltocker, nó đã được tích hợp sẵn trong hệ điều hành và chỉ có trong Window 10 Pro và Enterprise. Bạn có thể xem phiên bản Windows nào được cài đặt trên máy tính của mình trong Bảng điều khiển trên tab Hệ thống. Nếu bạn đã cài đặt Window 10 Home không hỗ trợ BitLocker, chúng tôi khuyên bạn nên chú ý đến một chương trình như.

Tại sao Microsoft không công khai tính năng này là một câu hỏi mở, vì mã hóa dữ liệu là một trong những cách hiệu quả nhất để giữ an toàn cho tính năng này.

Mã hóa là gì

Mã hóa là một cách để tăng cường tính bảo mật cho dữ liệu của bạn bằng cách đảm bảo rằng nội dung của nó chỉ có thể được đọc bởi chủ sở hữu khóa mã hóa thích hợp. Windows 10 bao gồm nhiều công nghệ mã hóa khác nhau. Ví dụ: mã hóa hệ thống tệp EFS và Mã hóa ổ đĩa BitLocker mà chúng ta sẽ nói đến trong bài viết này.

Những điều bạn cần biết và làm trước khi sử dụng BitLocker

  • Mã hóa ổ cứng của bạn có thể mất nhiều thời gian. Trước khi bắt đầu, chúng tôi khuyên bạn nên sao lưu dữ liệu của mình vì việc mất điện đột xuất trong quá trình mã hóa có thể làm hỏng dữ liệu.
  • Bản cập nhật Windows 10 tháng 11 bao gồm tiêu chuẩn mã hóa an toàn hơn. Xin lưu ý rằng tiêu chuẩn mã hóa mới sẽ chỉ tương thích với các hệ thống Cập nhật Windows 10 tháng 11.
  • Nếu máy tính của bạn không có Mô-đun nền tảng đáng tin cậy (TPM), một con chip cung cấp cho máy tính của bạn các tính năng bảo mật bổ sung, chẳng hạn như khả năng mã hóa ổ đĩa BitLocker. Khi cố gắng bật mã hóa, bạn có thể nhận được thông báo lỗi TPM: "Thiết bị này không thể sử dụng Mô-đun nền tảng đáng tin cậy (TPM)"

Để giải quyết vấn đề này, hãy sử dụng tệp EnableNoTPM.reg.zip. Tải xuống, giải nén và chạy tệp này, thao tác này sẽ thực hiện các thay đổi cần thiết đối với sổ đăng ký để cho phép mã hóa mà không cần TPM.

Cách mã hóa ổ đĩa bằng BitLocker

Kích hoạt Mã hóa ổ đĩa BitLocker trong Windows 10. Nhấp vào nút Bắt đầu -> Explorer -> Máy tính này. Sau đó nhấp chuột phải vào ổ đĩa hệ thống Windows (thường là ổ C), chọn từ menu thả xuống .

Tạo một mật khẩu mạnh để mở khóa ổ cứng của bạn. Mỗi khi bạn bật máy tính, Windows sẽ yêu cầu bạn nhập mật khẩu này để giải mã dữ liệu của bạn.

Chọn cách bạn muốn sao lưu khóa khôi phục. Bạn có thể lưu nó vào tài khoản Microsoft của mình, sao chép nó vào ổ USB hoặc in nó.

Đã lưu?! Bây giờ bạn cần chỉ định phần nào của đĩa bạn muốn mã hóa.

Bạn sẽ có hai lựa chọn:

  • Nếu bạn đang mã hóa một ổ đĩa mới hoặc một PC mới, bạn chỉ cần mã hóa phần ổ đĩa hiện đang được sử dụng. BitLocker sau đó sẽ tự động mã hóa dữ liệu khi nó được thêm vào.
  • Nếu bạn bật BitLocker trên PC hoặc ổ đĩa bạn đang sử dụng, chúng tôi khuyên bạn nên mã hóa toàn bộ ổ đĩa. Điều này sẽ đảm bảo rằng tất cả dữ liệu được bảo vệ.
Đối với chúng tôi, lựa chọn thứ hai thích hợp hơn. Xin lưu ý rằng quá trình mã hóa sẽ mất chút thời gian, đặc biệt nếu bạn có ổ đĩa lớn. Đảm bảo máy tính của bạn được kết nối với nguồn điện liên tục trong trường hợp mất điện.

Nếu bạn đã cài đặt bản cập nhật Windows 10 tháng 11 thì bạn có quyền truy cập vào chế độ mã hóa XTS-AES an toàn hơn. Chọn tùy chọn này bất cứ khi nào có thể.

Khi bạn đã sẵn sàng bắt đầu mã hóa, hãy nhấp vào nút "Tiếp tục"

Khởi động lại máy tính của bạn khi được nhắc.

Windows 10 và các phiên bản Windows cũ hơn cung cấp mã hóa tệp bằng công nghệ BitLocker. Bạn chỉ cần định cấu hình một lần và bạn có thể chắc chắn rằng không ai có quyền truy cập vào tệp của bạn hoặc có thể chạy chương trình của bạn, ngay cả khi họ có quyền truy cập vật lý vào ổ đĩa máy tính xách tay hoặc máy tính của bạn.

Làm cách nào để kích hoạt mã hóa BitLocker? Trước hết, bạn cần kích hoạt chính sách bảo mật:

1. Nhấn Win+R và chạy lệnh gpedit.msc.
2. Đi tới Mẫu quản trị > Mã hóa ổ đĩa BitLocker thành phần Windows > Ổ đĩa hệ điều hành.

3. Nhấp đúp vào “Cài đặt chính sách này cho phép bạn định cấu hình yêu cầu xác thực bổ sung khi khởi động” và chọn tùy chọn “Đã bật”.

Bây giờ bạn có thể tiến hành mã hóa trực tiếp:

1. Mở File Explorer > My Computer và chọn ổ đĩa bạn muốn mã hóa.
2. Nhấp chuột phải vào biểu tượng ổ đĩa và chọn Bật BitLocker.

3. Một hộp thoại sẽ mở ra với các tùy chọn truy cập dữ liệu được mã hóa. Làm theo hướng dẫn của nó và khởi động lại máy tính của bạn. Đĩa sẽ được mã hóa. Quá trình mã hóa có thể kéo dài, thời lượng của nó tùy thuộc vào khối lượng dữ liệu được mã hóa.

Trong quá trình thiết lập mã hóa, bạn sẽ cần tạo khóa hoặc mật khẩu để giải mã dữ liệu. Mật khẩu phải sử dụng hỗn hợp chữ và số. Khi ổ đĩa được cài đặt vào máy tính của bạn, dữ liệu sẽ tự động được mã hóa và giải mã, nhưng nếu bạn tháo ổ đĩa được mã hóa khỏi nó và kết nối nó với một thiết bị khác, bạn sẽ cần một khóa để truy cập các tệp.

Dữ liệu khôi phục khóa có thể được lưu trữ trên ổ đĩa flash, trong tài khoản Microsoft, trong tệp văn bản hoặc trên một tờ giấy in. Hãy nhớ rằng bản thân đây không phải là chìa khóa mà chỉ là thông tin giúp bạn khôi phục nó. Chỉ có thể lấy được khóa sau khi nhập thông tin đăng nhập và mật khẩu cho tài khoản Microsoft của bạn, điều này khiến việc phá mã hóa trở nên khó khăn hơn.

Nếu bạn đã mã hóa ổ đĩa logic của hệ thống, bạn sẽ phải nhập mật khẩu khi khởi động nguội thiết bị hoặc sau khi thiết bị khởi động lại.