HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

MODULE THỰC HÀNH

MÃ HÓA DỮ LIỆU TRÊN HỆ ĐIỀU HÀNH WINDOWS

Người thực hiện : Đồng Thị Thùy Linh

HÀ NỘI, 2015


THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH
Tên bài thực hành: Mã hóa dữ liệu trên hệ điều hành Windows
Số lượng sinh viên cùng thực hiện: 01
Địa điểm thực hành: phòng máy
Yêu cầu:
 Mỗi sinh viên được bố trí 01 máy tính với cấu hình tối thiểu: CPU 2.0 GHz,
RAM 4GB, HDD 50GB.
 Yêu cầu phần mềm trên máy:
 Hệ điều hành Windows
 Vmware Workstation 9.0 trở lên
 Công cụ thực hành:
 Máy ảo Vmware: Windows 8.
 Thiết bị USB ( do sinh viên tự trang bị )
 Yêu cầu khác : máy chiếu, bảng viết, bút/phấn viết bảng.

CHUẨN BỊ BÀI THỰC HÀNH
Đối với giảng viên:
Trước buổi học, giảng viên (người hướng dẫn thực hành) cần kiểm tra sự phù

hợp của điều kiện thực tế của phòng thực hành với các yêu cầu của bài thực hành
Đối với sinh viên:
Trước khi bắt đầu bài thực hành, cần tạo các bản sao của máy ảo để sử dụng.
Đồng thời xác định vị trí lưu trữ các cơng cụ đã chỉ ra trong yêu cầu.


PHẦN 1.

SỬ DỤNG BITLOCKER ĐỂ MÃ HÓA DỮ LIỆU TRÊN
WINDOWS 8

1.1 Giới thiệu về Bitlocker
1.1.1 BitLocker là gì?

BitLocker là chương trình mã hóa độc quyền, dễ sử dụng của Microsoft dành
cho Windows có thể mã hóa tồn bộ ổ đĩa của bạn cũng như giúp bảo vệ chống lại
những thay đổi trái phép vào hệ thống, chẳng hạn như phần mềm độc hại cấp
firmware.
1.1.2 Ai có thể sử dụng BitLocker?

BitLocker có sẵn cho bất cứ ai sở hữu máy tính chạy Windows Vista hoặc
Windows 7 Ultimate, Windows 7 Enterprise, Windows 8.1 Pro hoặc Windows 8.1
Enterprise, thậm chí là Windows 10.
1.1.3 Yêu cầu về hệ thống

Để chạy BitLocker, bạn sẽ cần có một máy tính Windows chạy một trong những
hệ điều hành nêu trên, cộng với một máy tính với ít nhất 2 phân vùng và một Trusted
Platform Module (TPM).
TPM là một con chip đặc biệt tiến hành kiểm tra xác thực trên phần cứng, phần
mềm và firmware. Nếu TPM phát hiện một sự thay đổi trái phép, máy tính sẽ khởi

động trong một chế độ hạn chế để ngăn chặn những kẻ tấn công tiềm năng.
Nếu bạn không biết liệu máy tính của mình có TPM hay nhiều phân vùng hay
không, đừng lo lắng. BitLocker sẽ tiến hành kiểm tra hệ thống khi bạn khởi động nó
để xem liệu máy tính có thể sử dụng BitLocker hay khơng.
1.1.4 Ai nên sử dụng BitLocker?

BitLocker là một chương trình mã nguồn đóng. Đó là vấn đề đối với những
người có đầu óc cực kỳ riêng tư, vì người dùng khơng có cách nào để biết liệu


Microsoft có bị ép buộc đưa một số loại backdoor vào chương trình này dưới sức ép
từ chính phủ Mỹ hay khơng. Microsoft cho biết khơng hề có backdoor, nhưng làm
thế nào chúng ta có thể chắc chắn được? Chúng ta không thể. Chắc chắn rằng nếu
BitLocker là mã nguồn mở, hầu hết chúng ta khơng có khả năng đọc mã để xác định
xem có backdoor hay khơng. Nhưng sẽ có ai đó có thể, nghĩa là sẽ có cơ hội cao hơn
nhiều để phát hiện ra lỗi của chương trình.
Vì vậy, với bản chất mã nguồn đóng của BitLocker trong tâm trí, chúng ta sẽ
khơng thể dựa vào chương trình mã hóa này để bảo vệ dữ liệu của bạn chống lại
hành động của chính phủ. Nhưng nếu bạn đang tìm cách để bảo vệ dữ liệu trong
trường hợp máy tính bị mất cắp hoặc các tình huống mà bọn tội phạm bình thường
và các loại phi chính phủ có thể gây rối với phần cứng của bạn, BitLocker sẽ có ích.
1.2 Thực hành
1.2.1 Chuẩn bị

- Máy ảo chạy hệ điều hành Windows 8
- Thiết bị USB
- Tạo tài khoản Microsoft và đăng nhập trên window 8
1.2.2 Các bước thực hành

Trước tiên chọn vào phân vùng (hay USB) mà chúng ta muốn khóa, sau đó

chọn chuột phải chọn “Turn on BitLocker” để bật tính năng mã hóa dữ liệu cho ổ
đĩa hoặc USB mà bạn đã chọn.


Tiếp theo, trong cửa sổ “Bitlocker Drive Encryption” chúng ta cần lựa chọn
phương thức để giải mã ổ đĩa hoặc thiết bị USB. Windows có hỗ trợ 2 phương thức
đó là sử dụng mật khẩu hoặc sử dụng smart card. Trong bài thực hành này chúng ta
sẽ chọn phương pháp sử dụng mật khẩu bằng cách nhấn chuột vào ô “ use a password
to unclock the drive” sau đó nhập mật khẩu vào và nhấn “Next”

Lúc này trên màn hình bạn sẽ nhận được thông báo sao lưu Recovery key để
trong trường hợp nếu bạn quên hoặc mất mật khẩu thì có thể dùng key này để truy
xuất được vào ổ mã hóa. Bạn có thể lưu trữ mật khẩu trên tài khoản Microsoft của
mình hoặc lưu trữ trên một tập tin nào đó hoặc in khóa khơi phục ra. Trong bài thực
hành này chúng ta sẽ chọn phương pháp lưu Recovery Key trên tài khoản Microsoft.


Tiếp theo bạn sẽ chọn mức độ mã hóa. Nếu chọn Used Disk space Only, q
trình mã hóa sẽ nhanh hơn và bất cứ dữ liệu nào ta thêm vào đều được mã hóa.
Chúng ta nên chọn Encrypt Entire Drive mặc dù sẽ mất nhiều thời gian hơn. Ở tùy
chọn này, kể cả dữ liệu đã xóa có khả năng khơi phục cũng được mã hóa.

Bây giờ, ta bấm vào "Start Encrypt" để tiến trình mã hóa bắt đầu.


Thời gian mã hóa phụ thuộc vào hệ thống của bạn, số lượng dữ liệu, kích thước
ổ đĩa...

Sau khi ổ lưu trữ của bạn được mã hóa, khi bạn mở máy tính lên bạn sẽ nhìn
thấy biểu tượng hình chiếc khóa.



Khi thiết bị USB được cắm vào máy khác thì ngay lập tức tồn bộ thiết bị sẽ
được mã hóa, bảo vệ toàn bộ dữ liệu bên trong khỏi người truy nhập trái phép

Để có thể truy cập được dữ liệu bên trong thì người dùng phải nhập đúng mật
khẩu đã được thiết lập trước đó:


PHẦN 2.

SỬ DỤNG EFS ĐỂ MÃ HÓA FILE VÀ THƯ MỤC TRÊN
WINDOWS 8

2.1 Giới thiệu về EFS
2.1.1 EFS là gì ?

EFS là viết tắt của Encrypting File System. EFS là tính năng có sẵn trên
Windows 2000/2003/2008 trên dịng server và WIndows 2000/XP/Vista trên dòng
máy trạm. EFS được sử dụng như một lớp bảo vệ dữ liệu bên ngoài lớp bảo vệ NTFS
cho truy xuất nội bộ và NTFS + File Sharing Permission cho truy cập qua phần chia
sẻ hay NTFS + IIS Web Permission cho truy cập qua web.
2.1.2 EFS kiểm soát việc truy cập dữ liệu ra sao ?

EFS về bản chất sử dụng chứng chỉ điện tử (digital certificate) do nền tảng khóa
cơng khai PKI cung cấp để kiểm soát việc ai được truy cập vào tập tin/ thư mục được
EFS bảo vệ.
EFS sử dụng các thuật toán DESX/3DES/AES với số lượng bit lên đến 256 bit
để bảo vệ mã cá nhân (Private Key). Hiện có một số cơng cụ tự nhận là bẻ khóa được
EFS nhưng bản chất ko pải là giải mã được mã khóa cá nhân mà chỉ dùng cách tấn

công Brutal Force đề quét ra chuỗi khóa Private Key. Tuy nhiên bạn cần một máy
tính siêu mạnh để thực hiện việc bẻ khóa một tài liệu được bảo vệ ở chế độ 256 bit.
2.1.3 EFS mã hóa tài liệu ra sao ?

 EFS Component Driver sẽ kiểm tra tính tương tác với NTFS.
 EFS Driver tìm kiếm chữ kí Private Key của người mã hóa tài liệu trong Local
Cert Store.
 Nếu khơng tìm thấy EFS Driver sẽ đăng kí để lấy chữ kí private key cho người
dùng từ CA.
 Nếu EFS Driver tiếp tục khơng kết nối được với CA nó sẽ tự tạo ra một chứng
chỉ (self-signing)
 EFS tạo ra khóa FEK và mã hóa nội dung tài liệu với thuật tốn
DESX/3DES/AES.
 EFS tiếp tục dùng khóa cơng khai của người dùng đễ mã hóa tiếp khóa FEK
với thuật tốn RSA


 EFS sẽ lưu khóa FEK đã mã hóa trong Header DDF của tập tin mã hóa. Nếu
quản trị đã cấu hình DRA thì khóa của agent này cũng sẽ được lưu trong DDF.
 Khi người dùng truy cập tập tin mã hóa thì pải có sẵn chứng chỉ private key thì
mới xem được tập tin.
 DRA phải import Private key mới có thể mở mã hóa của tài liệu được bảo vệ
bởi EFS
2.1.4 EFS được sử dụng trong những tình huống an ninh nào ?

- Bảo vệ tài liệu trên máy tính cá nhân:
Máy tính cá nhân bị mất cắp và hacker ko thể bẻ khóa mật khẩu buộc pải sử
dụng công cụ để reset mật khẩu tài khoản. Nếu chỉ dùng NTFS thì hacker hồn tồn
có thể truy cập dữ liệu. Với EFS nó sẽ kiểm tra chữ kí điện tử và nếu password bị
thay đổi nó sẽ lập tức khóa quyền truy cập.

Máy tính cá nhân bị mất cắp và hacker sử dụng OS thứ 2 để truy cập dữ liệu
như WinPE/Linux chạy trên CD hoặc đơn giản là xóa OS hiện tại và cài lại một OS
khác. Nếu chỉ dùng NTFS thì hacker hồn tồn có thể truy cập dữ liệu. Với những
tài liệu được bảo vệ bằng EFS sẽ được bảo vệ triệt để.
Nhiều tài khoản quản trị trên một máy tính thì việc bảo vệ hữu hiệu chỉ có thể
là EFS. Mọi người đều biết NTFS ko thể ngăn chặn 1 user quản trị truy cập trái phép
thông qua việc đoạt quyền Owner trên tập tin/thư mục.
Note: EFS là công cụ duy nhất để bảo vệ dữ liệu khi máy bị mất cắp trên
Windows 2000/2003 và Windows 2000/XP. trên Windows 2008/Vista thì ta có thể
sử dụng kết hợp EFS và BitLocker để protect cả HDD của HĐH.
- Tăng tính an tồn trong mơi trường làm việc:
Bảo vệ tài liệu cá nhân: trong môi trường AD thì người dùng với tài khoản có
thể đăng nhập local (local logon) trên máy tính bất kì trong Forest nếu ko bị GPO
khóa đăng nhập trên máy đó. Nên biện pháp EFS sẽ bảo vệ dữ liệu rơi vào tay những
kẻ ác ý.
Bảo vệ trong môi trường làm việc nhóm: nhóm làm việc có thể sử dụng EFS
để đảm bảo tài liệu được chia sẻ trên File Server được an tồn khỏi những con mắt
dịm ngó của những người dùng nguy hiểm hoặc thậm chí là của Admin.


Bảo vệ tài liệu được lưu offline trên máy: tính năng Offline cho phép người
dùng lưu local nội dung data trên máy chủ file. EFS cũng cho phép mã hóa bảo vệ
những tài liệu này.
Note: EFS ko thể mã hóa và bảo vệ tài liệu được chia sẻ qua hình thức http,
Sharepoint, OCS, Email.
Note: Trên Windows Server 2008, EFS có thể sử dụng kết hợp với Smart Card
để tăng tính bảo an tối đa để bảo vệ và xác thực việc truy cập dữ liệu. Khi đó chứng
nhận Private Key của người dùng sẽ được lưu trên thẻ Smart Card.
2.2 Thực hành
2.2.1 Chuẩn bị

2.2.2 Các bước thực hiện

Để mã hóa một tập tin hoặc một thư mục, đầu tiên bạn click vào biểu
tượng “File Explorer” trên thanh Taskbar hoặc trên Desktop để mở File Explorer.

Hoặc cách khác là trên màn hình Start Screen, bạn nhập từ khóa Explorer vào
khung Search rồi chọn File Explorer.


Tiếp theo chọn 1 file hoặc 1 thư mục mà bạn muốn mã hóa. Nhấn chuột phải
vào file hoặc thư mục đó rồi chọn “Properties”.

Trên màn hình xuất hiện cửa sổ “Properties”. Trong thẻ “General”, bạn click
chọn “Advanced” ở dưới mục “Attributes”.

Trên cửa sổ hộp thoại “Advanced Attributes”, bạn đánh tích vào mục “Encrypt
contents to secure data” rồi click chọn OK.


Click chọn tiếp “OK” để đóng cửa sổ hộp thoại Properties.
Nếu bạn đang mã hóa một tập tin thì hộp thoại “Encryption Warning” xuất
hiện, yêu cầu bạn lựa chọng việc mã hóa chỉ tập tin đã chọn, hoặc mã hóa cả thư
mục mẹ nữa (điều này đảm bảo các tập tin sau này được tạo trong thư mục đó cũng
sẽ được mã hóa).
Nếu bạn đang mã hóa một thư mục hộp thoại “Confirm Attribute Changes”
xuất hiện yêu cầu bạn chọn lựa mã hóa một thư mục hay mã hóa tất cả các thư mục
con bên trong. Tùy theo mục đích sử dụng để đưa ra tùy chọn thích hợp.
Chọn OK để hoàn tất.

Lúc này cửa sổ hộp thoại Properties sẽ đóng lại.

Tập tin hoặc thư mục mà bạn mã hóa được hiển thị bằng chữ màu xanh trong
File Explorer.


Nếu bạn mã hóa tất cả các thư mục hoặc tập tin con bên trong, những thư mục
và tập tin này cũng sẽ có màu xanh tương tự.
Ngồi ra trên khay hệ thống (Notification Area) trên thanh Taskbar, bạn sẽ nhìn
thấy một cửa sổ popup hiển thị thơng báo nói rằng cần sao lưu lại khóa hệ thống, đề
phịng trường hợp bị mất hoặc hư hỏng.

Click vào cửa sổ popup đó để tiến hành thực hiện sao lưu.
Lưu ý:
Nếu khơng thấy cửa sổ popup thông báo xuất hiện, bạn click vào biểu tượng
mũi tên trên khay hệ thống sau đó click vào biểu tượng Encrypting File System (mã
hóa tập tin hệ thống ).


Sau khi cửa sổ hộp thoại Encrypting File System xuất hiện, bạn click vào
chọn Back up now (sao lưu ngay bây giờ) hoặc Back up later (tiến hành sao lưu
sau).

Click chọn Next để tiếp tục tiến hành sao lưu.


Chấp nhận các lựa chọn định dạng dữ liệu, sau đó chọn Next để tiếp tục.

Nhập mật khẩu vào khung Password và khung Confirm Password rồi
chọn Next để tiếp tục.



Trên giao diện File to Export, chọn Browse.

Tìm vị trí bạn muốn lưu trữ khóa mã hóa. Bạn có thể sử dụng USB hoặc ổ cứng
gắn ngồi để dự phịng trường hợp xấu có thể xảy ra.
Sau đó chọn Save.


Lúc này trên màn hình xuất hiện bảng tóm tắt tất cả các tùy chọn. Bạn có thể
xem qua, sau đó chọn Finish để hồn tất.