Một trong những tính năng bảo mật mới của Windows Server 2008 và Windows Vista, đó chính là tính năng mã hóa ổ đĩa hay còn được gọi là BitLocker Drive Encryption. BitLocker cung cấp tính năng bảo mật dữ liệu rất cao, máy tính của bạn sẽ không thể khởi động nếu không có key giải mã. Do đó, giả sử như bạn bị mất dữ liệu hoặc dữ liệu của bạn bị đánh cắp, thì hacker cũng sẽ không xem được nội dung.
BitLocket sẽ mã hóa dữ liệu trên ổ cứng của bạn và sẽ lưu khóa mã hóa đó vào trong chip TPM 1.2 (Trusted Platform Module) (loại chip này chỉ có trong những mainboard mới nhất)

tpm_chip_2Chip TPM 1.2


Nếu mainboard của bạn không có chip TPM, thì bạn có thể dùng USB để lưu trữ key giải mã, và mỗi khi khởi động máy tính, bạn phải gắn USB này vào thì máy tính của bạn mới khởi động được


Bài lab bao gồm các bước:

          1. Hướng dẫn chia partition khi cài Windows Server 2008

          2. Cài đặt BitLocker Drive Encryption

          3. Mở tính năng BitLocker Drive Encryption trên máy không có chip TPM


II. Thực hiện:

1. Hướng dẫn chia partition khi cài Windows Server 2008

Đề BitLocker có thể hoạt động được  thì ổ cứng của bạn phải có ít nhất 2 partitions và cả 2 partition này phải được định dạng NTFS

- Khởi động máy tính bằng đĩa cài đặt Windows Server 2008

- Trong màn hình Install Windows, bạn chọn Language, Time and currency format, và Keyboard Layout. Nhấn Next 
- Trong hộp thoại tiếp theo, chọn Repair your computer (ở góc cuối phái trái màn hình)
- Trong hộp thoại System Recovery Options, nhấn Next.

- Nhấn Command Prompt
- Lần lượt gõ các lệnh sau:

+ Diskpart, sau đó nhấn Enter

+ select disk 0

+ clean

+ Create partition primary size=1500 (kích thước ổ đĩa)

+ assign letter=E (lệnh này dùng để gán tên ổ đĩa)

+ active

+ create partition primary (tạo ổ đĩa còn lại. Bạn sẽ cài đặt Windows trên ổ đĩa này)

+ assign letter=C

+ list volume (lệnh này sẽ hiện thị tất cả volumes có trên đĩa cứng của bạn)

+ exit

- Sau đó bạn cần format 2 ổ đĩa vừa tạo bằng lệnh sau:

+ format c: /y /q /fs:NTFS

+ format e: /y /q /fs:NTFS

+ Gõ exit để thoát khỏi Command Prompt

- Trong hộp thoại Recovery Options, bạn nhấn Alt + F4 để đóng của sổ này lại (đừng nhấn Shutdown hoặc Restart)

- Nhấn Install now để bắt đầu quá trình cài đặt Windows Server 2008
2. Cài đặt BitLocker Drive Encryption

- Sau khi cài đặt xong Windows Server 2008, bạn vào Server Manager 
- Chuột phải lên Features, chọn Add Features
- Trong hộp thoại Select Features, đánh dấu chọn vào BitLocker Drive Encryption
- Trong hộp thoại Confirmation, nhấn Install để bắt đầu quá trình cài đặt
- Sau khi cài đặt xong, bạn Restart lại máy

- Ngoài ra, bạn còn có thể cài đặt BitLocker Drive bằng dòng lệnh: ServerManagerCmd –install BitLocker -restart


3. Mở tính năng BitLocker Drive Encryption trên máy không có chip TPM

- Vào Start\Run, gõ: gpedit.msc

- Trong console Local Group Policy Editor, click Computer Configuration, bung dấu cộng của Administrative Templates, chọn Windows Components, chọn BitLocker Drive Encryption
- Chuột phải vào Control Panel Setup: Enable Advanced Startup Options, chọn Properties
- Nhấn chọn Enable, đánh dấu check vào tùy chọn Allow BitLocker without a compatible TPM, sau đó nhấn OK- Sau đó vào Start\Run, gõ gpupdate /force


- Mở Control Panel, click vào mục Security
- Chọn BitLocker Drive Encryption
- Trong trang BitLocker Drive Encrytion, click vào Turn On BitLocker
- Trong mục Set BitLocker startup preferences, chọn Require Startup USB key at every startup (tùy chọn này chỉ dành mainboard không có TPM). Sau đó, bạn gắn USB vào máy. - Chọn ổ đĩa USB, nhấn Save

- Trong mục Save the recovery password, bạn sẽ thấy các tùy chọn sau:

           + Save the password on a USB drive : lưu mật khẩu trên ổ dĩa USB

           + Save the password in a folder: lưu mật khẩu vào thư mục trên ổ đĩa mạng

           + Print the password: in mật khẩu 

-  Trong mục Encrypt the volume, đánh dấu check vào Run Bitlocker system check, nhấn Continue- Nhấn Restart Now- Sau khi Restart xong, quá trình mã hóa sẽ được thực hiện- Như vậy kể từ đây, mỗi khi bạn khởi động máy, bạn phải cần đến USB này vì nó chứa key giải mã
- Thử khởi động lại máy tính, và kiểm tra.