Tìm hiểu công nghệ mã hóa BitLocker Recovery Key của Microsoft trên thiết bị máy tính. Dữ liệu trên thiết bị người dùng được doanh nghiệp trang bị trở nên an toàn khi bị thất lạc.
Hay là BitLocker Drive Encryption là một tính năng bảo vệ dữ liệu sẵn có trên hệ điều hành Windows. Giải quyết những lo âu về lộ dữ liệu đối với hành vi thất lạc, đánh cắp đối với thiết bị. Bằng phương pháp cấm đăng nhập hệ điều hành khi không cung cấp được mã nhận dạng. (Mã nhận dạng bao gồm PIN, USB Flash…)
Thứ nhất, thiết bị có hỗ trợ phần cứng TPM 1.2 hoặc 2.0 trở lên. Các thiết bị đời cũ hơn không có TPM cần thêm USB Flash để mã hóa. Thứ 2 các thiết bị có BIOS hoặc UEFI hỗ trợ USB Flash trước khi startup thiết bị.
Đây là một quy trình truy cập ổ cứng chứa dữ liệu được kích hoạt BitLocker. Yêu cầu khôi phục quyền truy cập khi có bất thường xảy ra đối với dữ liệu trên thiết bị.
Hướng dẫn khôi phục truy cập – BitLocker Recovery Key
Được áp dụng đối với các thiết bị chạy hệ điều hành Windows 10, Windows 11, Windows Server 2022. Đối với các tổ chức, hướng dẫn tìm mã khôi phục BitLocker thông qua Active Directory Domain Services (AD DS).
Nhận dạng Mã Khôi Phục
Đây là mật khẩu dạng 48-digit recovery password, có thể được lưu giữ riêng để sử dụng khi hệ thống yêu cầu.
- Đối với thiết bị cá nhân, mật khẩu này thông thường lưu trữ trên tài khoản Microsoft cá nhân, USB Flash. Lưu ý: Thiết bị cá nhân ở đây là thiết bị không join domain nào của doanh nghiệp.
- Trường hợp thiết bị join domain AD DS sẽ được quản lý bởi quản trị CNTT của doanh nghiệp.
Kích hoạt mã hóa ổ đĩa trên thiết bị
Thiết bị hỗ trợ Modern Standby sẽ tự động được bật tính năng mã hóa ổ đĩa. Đối với Windows 10 & 11 thì sẽ kích hoạt tự động trên cả phiên bản Home & Pro. Quy trình kích hoạt mã hóa diễn ra như sau:
- Khi máy tính thể hệ mới, được cài hệ điều hành sạch, đáp ứng được yêu cầu của BitLocker mã hóa. BitLocker Drive Encryption sẽ được kích hoạt ngay lần đầu sử dụng kể từ khi mua. Sẽ được ưu tiên lưu trực tuyến vào tài khoản Microsoft Account.
- Thiết bị không nhập vào AD DS thì tài khoản quản trị Microsoft đăng nhập cấp quyền quản trị. Sau khi đăng nhập thì mã hóa ban đầu sẽ được xóa và chuyển sang lưu vào tài khoản Microsoft này.
- Nếu thiết bị được gia nhập mật khẩu trên tài khoản làm việc Work or School. Trường hợp tương tự là xóa bộ mã hóa ban đầu và chuyển sang lưu trữ trên dịch vụ AD của tổ chức.
BitLocker luôn được kích hoạt sẵn sàng trên thiết bị dù đó là cá nhân hay tổ chức. Quá trình thiết lập BitLocker sẽ tạo mã khôi phục tại thời điểm kích hoạt.
Nguyên nhân cần sử dụng Mã Khôi Phục
Các trường hợp điển hình thường gặp cần sử dụng mã khôi phục BitLocker Recovery Key bao gồm:
- Khi thiết bị PC/Tablet/Mobile có kích hoạt BitLocker Drive Encryption phát hiện bị tấn công. Thiết bị sẽ lập tức yêu cầu Reboot vào chế độ BitLocker Recovery Mode. Ở chế độ này, có thể giới hạn số lần đăng nhập sai thông tin trước khi khóa truy cập thiết bị.
- Trên các thiết bị có chip TPM, việc thay đổi thứ tự Boot thiết bị sẽ cần yêu cầu mã khôi phục. Tương tự nếu chuyển thứ tự Boot ưu tiên cho CD-DVD room cũng sẽ yêu cầu.
- Tắt/mở/nâng cấp, thay đổi các thành phần bảo mật trên BIOS, UEFI firmware, Secure Boot… Hardware như mainboard, keyboard, battery, dock sạc…
- Không thể khởi động thiết bị thông qua chế độ boot from network.
- Thay đổi phân vùng ổ đĩa partition như tạo, xóa và resize phân vùng primary.
- Một số máy tính chọn đăng nhập bằng mã PIN, nhưng đăng nhập sai nhiều lần.
Trong từng trường hợp, để khôi phục thành công sẽ cần chính xác nguyên nhân xảy ra cho thiết bị. Từ đó có những bước tiếp theo sau khi nhập mã khôi phục thành công.
Các cách để lấy mã khôi phục cho thiết bị
Như ở trên, việc biết thiết bị có đăng nhập các dạng tài khoản Microsoft giúp tìm được mã kích hoạt dễ dàng. Bài viết giới thiệu cách tìm mã khôi phục trên Azure Portal.
Bước 1: Đăng nhập Azure portal admin center.
Bước 2: Tìm User cần lấy mã khôi phục, Chọn Users>>Devices>> chọn Tên thiết bị
Cuối cùng, Bước 3: Chọn Show Recovery Key chọn Copy mật khẩu 48 ký tự (ô xanh dương như minh họa)
Lưu ý:
- Đây là mã key dành cho mã hóa ở cứng hệ điều hành, nếu thiết bị có Drive data cần copy cho chính xác.
- Mã hóa sẽ lưu trên tài khoản Azure AD của doanh nghiệp sử dụng các gói Microsoft 365 Business hoặc Enterprise.
BitLocker là một bộ mã hóa giúp bảo mật & bảo vệ dữ liệu cho doanh nghiệp. Doanh nghiệp có thể triển khai cơ bản hoặc thông qua Intune để kích hoạt tính năng Windows Security này. Ngoài ra, BitLocker cũng liên quan đến quá trình triển khai mô hình bảo mật Zero Trust.
VinSEP (Công ty TNHH Mục Tiêu Số, MST: 0316094847)- chúng tôi là chuyên gia trong giải pháp/dịch vụ CNTT & phần mềm bản quyền. VinSEP giúp doanh nghiệp chuyển đổi thành nơi làm việc hiện đại (Modern Workplace) & phát triển trong thời đại công nghiệp 4.0.
VinSEP chỉ có một website Official chính thức là VinSEP.com.
