BitLocker để mã hóa ổ lưu trữ ngoài
Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách lưu
các khóa BitLocker Recovery trong cơ sở dữ liệu Active Directory.
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách điều
chỉnh cho BitLocker được sử dụng như thế nào trong tổ chức qua các thiết lập
chính sách nhóm. Như những gì chúng tôi đã nói ở cuối phần trước, một trong
những vấn đề lớn với việc mã hóa thiết bị lưu trữ là tiềm ẩn khả năng mất dữ liệu.
Như những gì bạn biết, các thiết bị được mã hóa BitLocker sẽ được bảo vệ bằng
mật khẩu. Tuy nhiên vấn đề ở đây là người dùng rất có thể quên mật khẩu và trở
thành chính nạn nhân của việc mã hóa, họ không thể lấy được dữ liệu trong thiết bị
mà mình đã thực hiện mã hóa. Nếu bạn dừng lại và nghĩ về nó, thì việc dữ liệu mã
hóa mà không thể giải mã sẽ chẳng khác gì việc dữ liệu bị lỗi.
Nếu quay trở lại phần đầu tiên của loạt bài này, bạn sẽ thấy khi mã hóa một ổ đĩa
bằng BitLocker, Windows sẽ hiển thị một thông báo, giống như được hiển thị ở
hình A bên dưới, thông báo này cho bạn biết rằng khi quên mật khẩu, người dùng
có thể sử dụng khóa khôi phục để truy cập vào ổ đĩa. Windows không chỉ tự động
cung cấp cho bạn khóa khôi phục này mà nó còn bắt buộc bạn phải in khóa khôi
phục ra giấy hoặc lưu nó vào một file nào đó.
Hình A: BitLocker bảo vệ người dùng tránh hiện tượng mất dữ liệu bằng cách cung
cấp cho họ khóa khôi phục
Việc đưa ra khóa khôi phục để tránh mất dữ liệu là một ý tưởng tốt, tuy nhiên trong
thế giới thực nó lại không mang tính thực tế. Mất khóa mã hóa có thể gây ra một
hậu quả nghiêm trọng trong môi trường công ty, nơi dữ liệu là không thể thay thế.
Tuy nhiên vẫn cần nói lời cảm ơn rằng bạn đã không phải phụ thuộc vào người
dùng để theo dõi các khóa khôi phục của họ mà có thể lưu các khóa khôi phục
trong Active Directory.
Chuẩn bị Active Directory
Trước khi đi cấu hình BitLocker để lưu các khóa khôi phục trong Active Directory,
chúng ta cần thực hiện một số công việc chuẩn bị. Chúng tôi bảo đảm chắc chắn
bạn đã biết điều này, BitLocker to Go được giới thiệu lần đầu tiên trong Windows
7 và Windows Server 2008 R2. Nó được bổ sung với lý do hỗ trợ khôi phục khóa
BitLocker to Go ở mức Active Directory, sau đó bạn sẽ cần chạy một số mã
Windows Server 2008 R2 trên các domain controller của mình.
Tin hay không thì tùy, bạn không phải nâng cấp tất cả các domain controller lên
Windows Server 2008 R2, trừ khi muốn. Thay vào đó, có thể sử dụng DVD cài đặt
Windows Server 2008 R2 để mở rộng giản đồ Active Directory trên domain
controller đang hoạt động như schema master cho Active Directory forest của
mình.
Trước khi giới thiệu cho các bạn cách mở rộng giản đồ Active Directory, chúng tôi
cần phải cảnh báo các bạn rằng thủ tục này thừa nhận rằng tất cả các domain
controller đang chạy Windows 2000 Server SP4 hoặc phiên bản cao hơn. Nếu chỉ
có các domain controller cũ thì bạn cần phải nâng cấp chúng lên để có thể thực
hiện các mở rộng giản đồ cần thiết.
Bạn cũng nên thực hiện backup trạng thái toàn bộ hệ thống của các domain
controller trước khi mở rộng giản đồ Active Directory. Cách thức này là để đề
phòng nếu có vấn đề gì đó xảy ra không theo ý muốn trong quá trình mở rộng, bạn
vẫn có thể khôi phục lại trạng thái trước đó của mình.
Với các công tác chuẩn bị đó, bạn có thể mở rộng giản đồ Active Directory bằng
cách chèn DVD cài đặt Windows Server 2008 R2 của bạn vào schema master. Sau
đó, mở cửa sổ nhắc lệnh Command Prompt bằng cách sử dụng tùy chọn Run As
Administrator và nhập vào lệnh dưới đây (ở đây D: là ổ đĩa có chứa đĩa cài đặt):
D:
CD\
CD SUPPORT\ADPREP
ADPREP /FORESTPREP
Khi tiện ích ADPrep load, bạn sẽ được yêu cầu xác nhận các domain controller
đang chạy các phiên bản Windows Server thích hợp. Đơn giản hãy nhất phím C và
sau đó nhấn Enter để bắt đầu quá trình mở rộng giản đồ, như thể hiện trong hình
B. Toàn bộ quá trình mở rộng giản đồ sẽ chỉ mất một vài phút để hoàn tất.
Hình B: Giản đồ Active Directory phải được mở rộng trước khi các khóa
BitLocker được lưu trong Active Directory
Cấu hình chính sách nhóm (Group Policy)
Việc chỉ mở rộng một cách đơn giản giản đồ Active Directory không bắt buộc
BitLocker lưu các khóa khôi phục trong Active Directory. Do đó để có được điều
mong muốn chúng ta cần phải cấu hình một vài thiết lập chính sách nhóm.
![Sổ tay Kỹ năng nhận diện & phòng chống lừa đảo trực tuyến [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251017/kimphuong1001/135x160/8271760665726.jpg)
![Cẩm nang An toàn trực tuyến [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251017/kimphuong1001/135x160/8031760666413.jpg)
