BitLocker để mã hóa ổ lưu trữ ngoài

Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưu các khóa BitLocker Recovery trong cơ sở dữ liệu Active Directory. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách điều chỉnh cho BitLocker được sử dụng như thế nào trong tổ chức qua các thiết lập chính sách nhóm. Như những gì chúng tôi đã nói ở cuối phần trước, một trong những vấn đề lớn với việc mã hóa thiết bị lưu trữ là tiềm ẩn khả năng mất dữ liệu. Như những...
Nội dung trích xuất từ tài liệu:
BitLocker để mã hóa ổ lưu trữ ngoài BitLocker để mã hóa ổ lưu trữ ngoàiTrong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưucác khóa BitLocker Recovery trong cơ sở dữ liệu Active Directory.Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách điềuchỉnh cho BitLocker được sử dụng như thế nào trong tổ chức qua các thiết lậpchính sách nhóm. Như những gì chúng tôi đã nói ở cuối phần trước, một trongnhững vấn đề lớn với việc mã hóa thiết bị lưu trữ là tiềm ẩn khả năng mất dữ liệu.Như những gì bạn biết, các thiết bị được mã hóa BitLocker sẽ được bảo vệ bằngmật khẩu. Tuy nhiên vấn đề ở đây là người dùng rất có thể quên mật khẩu và trởthành chính nạn nhân của việc mã hóa, họ không thể lấy được dữ liệu trong thiết bịmà mình đã thực hiện mã hóa. Nếu bạn dừng lại và nghĩ về nó, thì việc dữ liệu mãhóa mà không thể giải mã sẽ chẳng khác gì việc dữ liệu bị lỗi.Nếu quay trở lại phần đầu tiên của loạt bài này, bạn sẽ thấy khi mã hóa một ổ đĩabằng BitLocker, Windows sẽ hiển thị một thông báo, giống như được hiển thị ởhình A bên dưới, thông báo này cho bạn biết rằng khi quên mật khẩu, người dùngcó thể sử dụng khóa khôi phục để truy cập vào ổ đĩa. Windows không chỉ tự độngcung cấp cho bạn khóa khôi phục này mà nó còn bắt buộc bạn phải in khóa khôiphục ra giấy hoặc lưu nó vào một file nào đó.Hình A: BitLocker bảo vệ người dùng tránh hiện tượng mất dữ liệu bằng cách cung cấp cho họ khóa khôi phụcViệc đưa ra khóa khôi phục để tránh mất dữ liệu là một ý tưởng tốt, tuy nhiên trongthế giới thực nó lại không mang tính thực tế. Mất khóa mã hóa có thể gây ra mộthậu quả nghiêm trọng trong môi trường công ty, nơi dữ liệu là không thể thay thế.Tuy nhiên vẫn cần nói lời cảm ơn rằng bạn đã không phải phụ thuộc vào ngườidùng để theo dõi các khóa khôi phục của họ mà có thể lưu các khóa khôi phụctrong Active Directory.Chuẩn bị Active DirectoryTrước khi đi cấu hình BitLocker để lưu các khóa khôi phục trong Active Directory,chúng ta cần thực hiện một số công việc chuẩn bị. Chúng tôi bảo đảm chắc chắnbạn đã biết điều này, BitLocker to Go được giới thiệu lần đầu tiên trong Windows7 và Windows Server 2008 R2. Nó được bổ sung với lý do hỗ trợ khôi phục khóaBitLocker to Go ở mức Active Directory, sau đó bạn sẽ cần chạy một số mãWindows Server 2008 R2 trên các domain controller của mình.Tin hay không thì tùy, bạn không phải nâng cấp tất cả các domain controller lênWindows Server 2008 R2, trừ khi muốn. Thay vào đó, có thể sử dụng DVD cài đặtWindows Server 2008 R2 để mở rộng giản đồ Active Directory trên domaincontroller đang hoạt động như schema master cho Active Directory forest củamình.Trước khi giới thiệu cho các bạn cách mở rộng giản đồ Active Directory, chúng tôicần phải cảnh báo các bạn rằng thủ tục này thừa nhận rằng tất cả các domaincontroller đang chạy Windows 2000 Server SP4 hoặc phiên bản cao hơn. Nếu chỉcó các domain controller cũ thì bạn cần phải nâng cấp chúng lên để có thể thựchiện các mở rộng giản đồ cần thiết.Bạn cũng nên thực hiện backup trạng thái toàn bộ hệ thống của các domaincontroller trước khi mở rộng giản đồ Active Directory. Cách thức này là để đềphòng nếu có vấn đề gì đó xảy ra không theo ý muốn trong quá trình mở rộng, bạnvẫn có thể khôi phục lại trạng thái trước đó của mình.Với các công tác chuẩn bị đó, bạn có thể mở rộng giản đồ Active Directory bằngcách chèn DVD cài đặt Windows Server 2008 R2 của bạn vào schema master. Sauđó, mở cửa sổ nhắc lệnh Command Prompt bằng cách sử dụng tùy chọn Run AsAdministrator và nhập vào lệnh dưới đây (ở đây D: là ổ đĩa có chứa đĩa cài đặt):D:CD CD SUPPORTADPREPADPREP /FORESTPREPKhi tiện ích ADPrep load, bạn sẽ được yêu cầu xác nhận các domain controllerđang chạy các phiên bản Windows Server thích hợp. Đơn giản hãy nhất phím C vàsau đó nhấn Enter để bắt đầu quá trình mở rộng giản đồ, như thể hiện trong hìnhB. Toàn bộ quá trình mở rộng giản đồ sẽ chỉ mất một vài phút để hoàn tất. Hình B: Giản đồ Active Directory phải được mở rộng trước khi các khóa BitLocker được lưu trong Active DirectoryCấu hình chính sách nhóm (Group Policy)Việc chỉ mở rộng một cách đơn giản giản đồ Active Directory không bắt buộcBitLocker lưu các khóa khôi phục trong Active Directory. Do đó để có được điềumong muốn chúng ta cần phải cấu hình một vài thiết lập chính sách nhóm.Bắt đầu quá trình bằng cách load chính sách nhóm được sử dụng cho các máy trạmcủa bạn trong Group Policy Management Editor. Điều hướng thông qua cây giaodiện để đến Computer Configuration | Policies | Administrative Templates:Policy Definitions | Windows Components | BitLocker Drive Encryption |Removable Data Drives. Như những gì bạn có thể nhớ lại, chúng tôi đã giới thiệuhầu hết các thiết lập chính sách riêng rẽ trong phần trước của loạt bài này.Đến đây ...