Cách mã hóa ổ cứng Windows 10 bằng Bitlocker

Khi các công ty viễn thông lớn, các công ty điện nước và thậm chí cả chính phủ phải hứng chịu các vụ vi phạm dữ liệu(data breaches) , bạn có cơ hội nào? Một cơ hội tốt đáng ngạc nhiên nếu bạn thực hiện một số biện pháp chính. Một trong những biện pháp đó là mã hóa ổ cứng hoặc SSD của bạn(encrypting your hard drive or SSD)

Windows 10 có một cách để mã hóa ổ đĩa tích hợp của bạn bằng công nghệ BitLocker của Microsoft. (BitLocker)Nó dễ thực hiện, dễ sử dụng và không yêu cầu bất kỳ kỹ năng hoặc phần cứng đặc biệt nào. Tuy nhiên, bạn cần phải có phiên bản Windows Pro(Windows Pro) , Enterprise hoặc Education của Windows 10 . Nếu bạn có Windows 10 Home , mã hóa VeraCrypt(VeraCrypt encryption) là một lựa chọn tuyệt vời. Bạn thậm chí có thể thích nó hơn BitLocker

BitLocker là gì?(What Is BitLocker?)

Mã hóa là quá trình thay đổi thông tin thành một thứ gì đó vô nghĩa trừ khi bạn có chìa khóa. BitLocker mã hóa thông tin trên ổ cứng để chỉ có thể đọc thông tin sau khi nhập khóa. Khóa có thể được quản lý bởi chip Mô-đun nền tảng đáng tin cậy (TPM)(Trusted Platform Module (TPM)) trong máy tính, ổ USB(USB) lưu khóa hoặc thậm chí chỉ là mật khẩu. Nếu bạn dùng thử BitLocker và không thích nó, bạn rất dễ tắt BitLocker(turn BitLocker off) .

Tại sao tôi nên mã hóa ổ cứng Windows của mình?(Why Should I Encrypt My Windows Hard Drive?)

Giả sử bạn sử dụng các phương pháp hay nhất về mật khẩu(password best practices) . Mật khẩu của bạn phức tạp, khó đoán và bạn không viết nó ra hoặc chia sẻ nó với bất kỳ ai. Nếu ai đó muốn lấy dữ liệu từ ổ đĩa của bạn và họ không có mật khẩu Windows của bạn , họ có thể tháo ổ cứng, cắm nó vào máy tính khác và sử dụng đĩa CD trực tuyến Linux để khôi phục tệp(Linux live CD to recover files)

Nếu bạn đang sử dụng BitLocker , họ không thể làm điều đó. BitLocker phải có thể lấy khóa từ đâu đó. Lý tưởng nhất(Ideally) , đó sẽ là Mô-đun nền tảng đáng tin cậy(Trusted Platform Module) ( TPM ). Nó cũng có thể là một cụm mật khẩu hoặc một ổ USB chuyên dụng làm khóa BitLocker .

"Nhưng không ai sẽ lấy cắp ổ đĩa của tôi," bạn trả lời. Bạn đã bao giờ ném máy tính ra ngoài chưa? Ổ cứng của bạn cũng đi cùng với nó, phải không? Trừ khi bạn vứt bỏ ổ cứng một cách an toàn(safely dispose of a hard drive) , nếu không ai đó có thể lấy được dữ liệu. Điều này xảy ra hàng ngày và thật dễ dàng. Chúng tôi thậm chí còn có một bài viết về cách truy cập các tệp trên ổ đĩa cũ(how to access files on old drives) .

Nếu bạn đã sử dụng BitLocker và lấy ổ đĩa ra khỏi máy tính sau đó xử lý máy tính và ổ đĩa riêng biệt, bạn chỉ khiến công việc của kẻ trộm dữ liệu thông thường trở nên khó khăn hơn theo cấp số nhân. Nó sẽ yêu cầu một chuyên gia khôi phục dữ liệu thậm chí có cơ hội lấy được dữ liệu của bạn từ xa. Thuyết phục(Convinced) chưa?

Cách kiểm tra xem máy tính có TPM hay không(How to Check if a Computer Has a TPM)

Tình huống BitLocker(BitLocker) lý tưởng là trên thiết bị có TPM . Thiết bị của bạn có TPM không? Thật dễ dàng để kiểm tra.

  1. Chọn menu Bắt đầu(Start ) và nhập hệ thống(system) . Kết quả đầu tiên phải là Thông tin hệ thống(System Information) . Chọn nó.

  1. Khi cửa sổ Thông tin Hệ thống mở ra, hãy nhập (System Information)tin cậy(trusted ) vào hộp Tìm gì:(Find what:) ở dưới cùng, sau đó chọn Tìm(Find ) hoặc nhấn Enter .

  1. Nếu thiết bị có TPM , nó sẽ hiển thị trong kết quả. Trong ví dụ này, TPM tồn tại và đó là TPM phiên bản 2.0 . Phiên bản có thể quan trọng trong tương lai, đặc biệt là khi Windows 11 được công bố rộng rãi.

Cách bật BitLocker trên thiết bị có TPM(How to Enable BitLocker On a Device With a TPM)

Thiết bị của bạn có TPM , vì vậy phần tiếp theo này rất đơn giản và dễ dàng.

  1. Mở File Explorer và điều hướng đến ổ đĩa được mã hóa bằng BitLocker .

Nhấp chuột phải(Right-click) vào ổ đĩa và chọn Bật BitLocker(Turn on BitLocker) .

Có thể có thông báo Đang bắt đầu BitLocker(Starting BitLocker ) với thanh tiến trình. Hãy để nó kết thúc.

  1. Nó sẽ nhắc bạn Chọn cách bạn muốn mở khóa ổ đĩa này(Choose how you want to unlock this drive) . Có 2 sự lựa chọn; Sử dụng mật khẩu để mở khóa ổ đĩa(Use a password to unlock the drive) hoặc Sử dụng thẻ thông minh của tôi để mở khóa ổ đĩa(Use my smart card to unlock the drive) . Nếu thiết bị đang được sử dụng trong doanh nghiệp, bạn có thể có thẻ thông minh và muốn sử dụng thẻ đó. Nếu không, hãy chọn sử dụng mật khẩu. Tạo một mật khẩu mạnh và an toàn(Create a strong, secure password) .

Mật khẩu sẽ chỉ cần thiết nếu ổ đĩa được xóa khỏi thiết bị này và được cài đặt trên thiết bị khác. Nếu không, TPM sẽ xử lý việc nhập mật khẩu, giúp ổ đĩa được mã hóa hoạt động trơn tru với mọi thứ khác.

Bây giờ nó hỏi Bạn muốn sao lưu khóa khôi phục của mình như thế nào?(How do you want to back up your recovery key?) 

Có 4 lựa chọn:

  • Lưu vào tài khoản Microsoft của bạn(Save to your Microsoft account) : Nếu bạn sử dụng tài khoản Microsoft để đăng nhập vào thiết bị thì đây là phương pháp dễ dàng nhất. Đó là những gì đang được sử dụng trong ví dụ này.
  • Lưu vào ổ flash USB(Save to a USB flash drive) : Nếu phương pháp này được chọn, chỉ sử dụng ổ flash USB cho mục đích này. Đừng cố gắng lưu trữ những thứ khác trên ổ đĩa flash đó.
  • Lưu vào tệp(Save to a file) : Nếu chọn phương pháp này, không lưu tệp vào ổ đĩa đang được mã hóa. Lưu nó vào một ổ đĩa khác hoặc bộ lưu trữ đám mây.
  • In khóa khôi phục(Print the recovery key) : Chọn phương pháp này có nghĩa là khóa đã in cần được lưu trữ an toàn, an toàn khỏi hỏa hoạn, trộm cắp và lũ lụt. Khi cần khóa, nó sẽ cần được nhập theo cách thủ công.

Tùy thuộc vào phương pháp được chọn, có thể có một số bước bổ sung, nhưng tất cả các phương pháp cuối cùng sẽ dẫn đến màn hình tiếp theo.

Bước này yêu cầu Chọn dung lượng ổ đĩa của bạn để mã hóa(Choose how much of your drive to encrypt) . Điều đó có thể gây nhầm lẫn. Nếu không có gì trên ổ đĩa đang được mã hóa, hãy chọn Chỉ mã hóa dung lượng đĩa đã sử dụng(Encrypt used disk space only) . Nó rất nhanh. 

Bất kỳ thứ gì được thêm vào ổ đĩa sau quá trình này sẽ được mã hóa tự động. Nếu ổ đĩa đã có các tệp và thư mục trên đó, hãy chọn Mã hóa toàn bộ ổ đĩa(Encrypt entire drive ) để đảm bảo tất cả chúng được mã hóa ngay lập tức. Sau đó chọn Tiếp theo(Next) .

Màn hình tiếp theo có thể không hiển thị tùy thuộc vào phiên bản Windows bạn đang sử dụng. Điều quan trọng là dành thời gian để đọc và hiểu nó. 

Tóm lại, nếu ai đó đã từng lấy ổ đĩa ra khỏi thiết bị này và đặt nó vào bất kỳ phiên bản Windows nào trước Windows 10 Phiên bản 1511(Version 1511) , ổ đĩa sẽ không hoạt động. Hầu hết mọi người sẽ không bao giờ làm điều đó, vì vậy hầu hết sẽ chọn Chế độ mã hóa mới(New encryption mode) , sau đó chọn Tiếp theo(Next) .

Mã hóa là một hoạt động kinh doanh nghiêm túc và mọi thứ có thể xảy ra sai sót. Đó là lý do tại sao quá trình sẽ hỏi lần cuối, Bạn đã sẵn sàng mã hóa ổ đĩa này chưa? (Are you ready to encrypt this drive? )Nếu vậy, hãy chọn Bắt đầu mã hóa.(Start encrypting.)

Sau khi BitLocker mã hóa ổ đĩa xong, hãy quay lại File Explorer . Lưu ý(Notice) rằng biểu tượng ổ đĩa bây giờ có một ổ khóa đã mở khóa. Điều đó có nghĩa là ổ đĩa đã được mã hóa nhưng sẵn sàng nhận tệp. Nếu ổ khóa bị khóa, bạn cần nhập mật khẩu để truy cập.

Cách bật BitLocker trên thiết bị không có TPM(How to Enable BitLocker On a Device Without TPM)

Hiện tại, có một cách sử dụng BitLocker để mã hóa ổ đĩa ngay cả khi thiết bị không có TPM . Mong rằng điều đó sẽ thay đổi trong Windows 11Windows 11 yêu cầu TPM 2.0(Windows 11 requires TPM 2.0) để nâng cấp từ Windows 10 lên Windows 11 . Phương pháp này yêu cầu phải có quyền quản trị viên.

  1. Nhấn tổ hợp phím Win Key + R để mở tiện ích Run. Trong trường Mở(Open ) , nhập gpedit.msc , sau đó chọn OK hoặc nhấn Enter . Thao tác này sẽ mở Trình chỉnh sửa chính sách nhóm cục(Local Group Policy Editor)(Local Group Policy Editor) bộ .

  1. Sau khi Local Group Policy Editor mở, điều hướng đến Cấu hình máy tính(Computer Configuration ) > Mẫu quản trị(Administrative Templates ) > Thành phần Windows(Windows Components ) > Mã hóa ổ BitLocker(BitLocker Drive Encryption ) > Ổ hệ điều hành(Operating System Drives) . Nhấp đúp vào cài đặt Yêu cầu xác thực bổ sung khi khởi động(Require additional authentication at startup) .

  1. Chọn Đã bật(Enabled ) và sau đó chọn OK để thay đổi cài đặt. Lưu ý hộp kiểm có nội dung “Cho phép BitLocker mà không có TPM tương thích. (TPM.)”Điều này cho phép sử dụng mật khẩu hoặc khóa bảo mật để truy cập vào ổ đĩa được mã hóa BitLocker . Khởi động lại(Restart) Windows để kích hoạt cài đặt.

  1. Làm theo quy trình tương tự như trong phần trên để khởi động BitLocker và mã hóa ổ đĩa. CẢNH BÁO:(WARNING: ) Nếu quá trình mã hóa ổ đĩa Windows được thực hiện xong, mỗi khi khởi động Windows , bạn phải nhập mật khẩu để Windows tải. Ghi lại mật khẩu ở một nơi an toàn ngoài thiết bị.
  2. Trong lần khởi động Windows tiếp theo , BitLocker sẽ yêu cầu nhập mật khẩu để mở khóa ổ đĩa. Làm điều đó và nhấn Enter để tiếp tục.

Bây giờ bạn có an toàn không?(Are You Secure Now?)

Mã hóa BitLocker(BitLocker) chỉ là một phần trong việc bảo mật dữ liệu của bạn. Bạn đang làm gì khác để đảm bảo quyền riêng tư và danh tính của bạn được bảo vệ? Hãy cho chúng tôi biết! Đảm(Make) bảo xem tất cả các bài báo về quyền riêng tư và bảo mật dữ liệu(data security and privacy) của chúng tôi .



Hoàng Huy

About the author

Tôi là một chuyên gia Windows 10 rất được đề xuất và tôi chuyên giúp mọi người cá nhân hóa giao diện máy tính của họ và làm cho các công cụ Office của họ thân thiện hơn với người dùng. Tôi sử dụng các kỹ năng của mình để giúp những người khác tìm ra những cách hiệu quả nhất để làm việc với Microsoft Office, bao gồm cách định dạng văn bản và đồ họa để in trực tuyến, cách tạo chủ đề tùy chỉnh cho Outlook và thậm chí cả cách tùy chỉnh giao diện của thanh tác vụ trên máy tính để bàn máy tính.


Related posts