Monday, April 2, 2012

มีอะไรใหม่ใน BitLocker บน Windows 8 และ Windows Server 8

BitLocker เป็นคุณสมบัติที่ช่วยป้องกันการเข้าถึงข้อมูลสำคัญจากผู้ที่ไม่มีสิทธิ์ โดยการเข้ารหัสข้อมูลที่เก็บอยู่ในไดรฟ์หรือพาร์ติชันด้วยรหัสผ่านตามที่ผู้ใช้กำหนด ไมโครซอฟท์เริ่มนำ BitLocker มาใช้ครั้งแรกใน Windows Vista ซึ่งในเวอร์ชันแรกนั้นสามารถทำการเข้ารหัสข้อมูลได้เฉพาะข้อมูลที่เก็บอยู่ในโวลุ่มระบบหรือโวลุ่มที่ติดตั้ง Windows เท่านั้น หลังจากนั้นใน Windows Vista SP1 ได้ปรับปรุง BitLocker ให้สนับสนุนการเข้ารหัสไดรฟ์ภายในทั้งหมด ต่อมาใน Windows 7 ได้เพิ่มคุณสมบัติ BitLocker to Go สำหรับใช้เข้ารหัสข้อมูลที่เก็บอยู่ในอุปกรณ์เก็บข้อมูลแบบพกพา เช่น ยูเอสบีแฟลชไดร์ฟ และฮาร์ดไดร์ฟแบบต่อภายนอก เป็นต้น และมาถึง Windows 8 และ Windows Server 8 คุณสมบัติ BitLocker ได้รับการปรับปรุงการทำงานให้มีความสามารถเพิ่มขึ้นในหลายด้าน ดังนี้

BitLocker provisioning:
ใน Windows 7 และ Windows Vista ผู้ใช้จะจัดเตรียมคุณสมบัติ BitLocker ได้หลังจากทำการติดตั้งระบบปฏิบัติการแล้วโดยใช้งานผ่านทางแผงควบคุมและเครื่องมือ manage-bde แต่ใน Windows 8 Consumer Preview นั้นสามารถจัดเตรียม การเข้ารหัส ได้ตั้งแต่ในระหว่างการติดตั้งระบบปฏิบัติการ

โดยใน Windows 8 Consumer Preview ผู้ดูแลระบบสามารถเปิดใช้งาน BitLocker ได้ก่อนที่จะทำการติดตั้งระบบปฏิบัติการจาก Windows Preinstallation Environment (WinPE) ซึ่งจะทำการเข้ารหัสไดรฟ์ที่ถูกฟอร์แมตก่อนที่จะเริ่มกระบวนการติดตั้ง Windows ตัวคุ้มครองสร้างขึ้นแบบสุ่ม หากการเข้ารหัสเป็นแบบ Used Disk Space Only จะทำให้กระบวนการติดตั้ง Windows ใช้เวลาเพิ่มขึ้นจากการติดตั้งแบบปกติเพียงไม่กี่วินาทีเท่านั้น

การตรวจสอบสถานะ BitLocker ของโวลุ่ม ผู้ดูแลระบบสามารถดูสถานะของไดรฟ์ผ่านทางแผงควบคุม BitLocker หรือ Windows Explorer เมื่อไดรฟ์ถูกจัดเตรียมไว้ล่วงหน้าสำหรับ BitLocker จะแสดงสถานะเป็น "Waiting For Activation" พร้อมกับไอคอนตกใจสีเหลืองในแผงควบคุม โดยสถานะนี้หมายความว่ามีเพียงเครื่องป้องกันที่ถูกนำมาใช้เมื่อการเข้ารหัสโวลุ่มเท่านั้น ในกรณีนี้ โวลุ่มยังไม่ได้ถูกป้องกันและจำเป็นต้องเพิ่มคีย์ความปลอดภัยเพิ่มให้กับโวลุ่มก่อนที่ไดรฟ์จะได้รบการคุ้มครองอย่างเต็มที่

ผู้ดูแลระบบ สามารถใช้แผงควบคุม เครื่องมือ manage-bde หรือ WMI API เพื่อเพิ่มคีย์คุ้มครองที่เหมาะสมและก่อนที่สถานะของโวลุ่มจะได้รับการอัปเดท ตารางต่อไปนี้แสดงให้เห็นถึงคีย์คุ้มครองที่เหมาะสมที่สามารถเพิ่มให้กับไดรฟ์ที่ได้รับการจัดเตรียมไว้ล่วงหน้าเพื่อการป้องกันด้วย BitLocker:


Used Disk Space Only encryption:
ใน Windows 8 Consumer Preview นั้น BitLocker เสนอวิธีการเข้ารหัสข้อมูล 2 แบบ คือ Used Disk Space Only และ Full volume encryption โดยการเข้ารหัสแบบ Used Disk Space Only จะเป็นการเข้ารหัสเฉพาะบล็อคที่ถูกใช้งานบนโวลุ่มเป้าหมายเท่านั้น จึงทำงานได้เร็วกว่า

เมื่อมีการจัดเตรียม BitLocker ในระหว่างการดีพลอย Windows การเข้ารหัสแบบ Used Disk Space Only จะอนุญาตให้ BitLocker เข้ารหัสไดรฟ์ในเวลาที่สั้นกว่าก่อนที่จะทำการติดตั้งระบบปฏิบัติการ ส่วน Full Encryption นั้นจะทำการเข้ารหัสโวลุ่มทั้งส่วนที่เป็นข้อมูลและส่วนที่ว่างแบบเดียวกับใน Windows 7 และ Windows Vista

ทั้งนี้ ผู้ดูแลระบบสามารถใช้การตั้งค่านโยบายกลุ่มใหม่ในการเลือกรูปแบบการเข้ารหัสว่าจะใช้แบบ Used Disk Space Only หรือ Full Encryption ได้ โดยการตั้งค่านโยบายกลุ่มสำหรับ BitLocker Drive Encryption จะเก็บอยู่ที่ \Computer Configuration\Administrative Templates\Windows Components\Bitlocker Drive Encryption path of Local Computer Policy and Domain Computer Policy

โดยมีนโยบายกลุ่มให้เลือก 3 ค่าดังนี้:
  • Fixed Data Drives\Enforce drive encryption type on fixed data drives
  • Operating System Drives\Enforce drive encryption type on operating system drives
  • Removable Data Drives\Enforce drive encryption type on removable data drives

Standard User PIN and password change:
อนุญาตให้ผู้ใช้ทั่วไป (Standard user) สามารถทำการเปลี่ยน BitLocker PIN หรือรหัสผ่านบนโวลุ่มระบบปฏิบัติการได้และรหัสผ่าน BitLocker บนไว้ลุ่มข้อมูลได้ ซึ่งจะช่วยลดภาระงานของทีมเฮลป์เดสก์ลง

ตามปกติแล้วการกำหนดค่า BitLocker สำหรับไดรฟ์ระบบปฏิบัติการนั้นต้องใช้สิทธิ์ระดับผู้ดูแลระบบ และในองค์กรที่คอมพิวเตอร์ถูกการจัดการโดยเจ้าหน้าที่ด้านไอทีจะไม่ให้สิทธิ์ระดับผู้ดูแลระบบแก่ผู้ใช้มาตรฐาน ทำให้การปรับใช้ตัวเลือกการป้องกัน TPM + PIN กับเครื่องคอมพวเตอร์จำนวนมากทำได้ยาก แต่ใน Windows Consumer Preview แม้ว่าการกำหนดค่า BitLocker จะยังคงต้องใช้สิทธิ์ระดับผู้ดูแลระบบ แต่โดยเริ่มต้นแล้วผู้ใช้งานปกติได้รับอนุญาตให้เปลี่ยน PIN หรือรหัสผ่าน BitLocker สำหรับโวลุ่มระบบปฏิบัติการหรือรหัสผ่านของ BitLocker สำหรับโวลุ่มข้อมูล ซึ่งจะช่วยให้ผู้ใช้มาตรฐานสามารถเลือก PIN และรหัสผ่านที่สามารถจำได้ง่ายกว่าการจำ PIN และรหัสผ่านที่กำหนดให้โดยเจ้าหน้าที่ด้านไอที

อย่างไรก็ตาม การที่ผู้ใช้สามารถเลือกใช้รหัสผ่านและ PIN ได้เองอาจทำให้เกิดการเลือกใช้รหัสผ่านและ PIN ที่มีความอ่อนแอและคาดเดาได้ง่าย ถูกโจมตีแบบพจนานุกรมได้ และถูกโจมตีแบบวิศวกรรมทางสังคมได้ ดังนั้นควรบังคับใช้การกำหนดรหัสผ่านที่มีซับซ้อนและ PIN ที่มีความนโยบายกลุ่ม ผ่านทางนโยบายกลุ่ม ทั้งนี้ เพื่อช่วยให้แน่ใจว่าผู้ใช้จะเลือกกำหนดรหัสผ่านและ PIN อย่างเหมาะสมและปลอดภัย

ในการเปลี่ยน PIN หรือรหัส BitLocker นั้นผู้ใช้มาตรฐานจะต้องป้อน PIN หรือรหัสผ่านปัจจุบันสำหรับไดรฟ์ หากผู้ใช้ป้อน PIN หรือรหัสผ่านปัจจุบันไม่ถูกต้องเกิน 5 ครั้ง ผู้ใช้มาตรฐานจะไม่สามารถที่จะเปลี่ยน PIN หรือรหัสผ่านของ BitLocker โดยค่าเคาน์เตอร์จะรีเซ็ตเป็น "0" เมื่อคอมพิวเตอร์ถูกรีสตาร์ทหรือผู้ดูแลระบบทำการรีเซ็ต

ในกรณีที่ไม่ต้องการให้ผู้ใช้มาตรฐานเปลี่ยน PIN หรือรหัสผ่านของ BitLocker ได้เอง ผู้ดูแลระบบสามารถปิดอ็อปชันได้ผ่านทางการตั้งค่านโยบายกลุ่ม Disallow standard users from changing the PIN ซึ่งเก็บอยู่ที่ \Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives โดยใช้เครื่องมือ Group Policy Editor

Network Unlock:
Windows Server “8” Beta จะเพิ่มอ็อปชันตัวป้องกัน BitLocker ตัวใหม่สำหรับโวลุ่มระบบปฏิบัติการ ชื่อ Network Unlock ซึ่งทำให้การจัดการเซิร์ฟเวอร์และเดสก์ท็อปที่มีการเปิดใช้ BitLocker ในสภาพแวดล้อมแบบโดเมนทำได้ง่ายขึ้น โดนการจัดเตรียมการปลดปลดล็อคโวลุ่มระบบโดยอัตโนมัติเมื่อรีบูทระบบและเชื่อมต่อผ่านระบบเครือข่ายแบบสายที่มีความน่าเชื่อถือ อย่างไรก็ตามคุณสมบัตินี้ต้องใช้ฮาร์ดแวร์ไคลเอ็นต์จะต้องรองรับไดรเวอร์ DHCP ในเฟิร์มแวร์ UEFI

Support for Encrypted Hard Drives for Windows:
ก่อนหน้านี้ BitLocker นั้นจะจัดเตรียมการเข้ารหัสโวลุ่มข้อมูลและโวลุ่มระบบปฏิบัติการ Windows แบบ Full Volume Encryption (FVE) แต่ใน Windows 8 Consumer Preview นั้น BitLocker ที่มีฟังก์ชัน Encrypted Hard Drive ซึ่งสนับสนุนการเข้ารหัสฮาร์ดไดรฟ์ทั้งก้อน Full Disk Encryption (FDE) ได้ ซึ่งเป็นการเข้ารหัสในระดับบล็อคข้อมูลของฮาร์ดดิสก์ทางกายภาพทำให้มีประสิทธิภาพการทำงานมากขึ้นเนื่องจากเป็นการทำงานแบบ hardware-based encryption ที่ไม่ขึ้นกับตัวควบคุมการจัดเก็บบนฮาร์ดไดรฟ์

Windows 8 Consumer Preview สนับสนุน Encrypted Hard Drives แบบเนทีฟในระบบปฏิบัติการผ่านทางกลไกดังนี้
  • Identification: Windows 8 Consumer Preview จะสามารถระบุได้ว่าไดรฟ์ใดเป็นอุปกรณ์แบบ Encrypted Hard Drive
  • Activation: เครื่องมือจัดการดิสก์ของ Windows 8 Consumer Preview จะสามารถแอคติเวต, สร้าง, และแม็พ โวลุ่มเป็นช่วง/กลุ่มตามความเหมาะสม
  • Configuration: Windows 8 Consumer Preview จะสร้างและแม็พโวลุ่มเป็นช่วง/กลุ่มตามความเหมาะสม
  • API: Windows 8 Consumer Preview ได้เตรียม API สนับสนุนแอพพลิเคชนสำหรับจัดการ Encrypted Hard Drives อย่่างอิสระจาก BitLocker Drive Encryption
  • BitLocker: ผู้ใช้สามารถใช้แผงควบคุม BitLocker ในการจัดการ Encrypted Hard Drives ในลักษณะเดียวกันกับการจัดการการเข้ารหัสโวลุ่มได้

ทั้งนี้ สามารถอ่านรายละเอียดการดาวน์โหลด Windows 8 Consumer Preview ได้ ที่นี่ และอ่านวิธีการติดตั้งได้ที่เว็บไซต์ การติดตั้ง Windows 8 แบบ Clean Install ส่วนการดาวน์โหลด Windows Server 8 อ่านรายละเอียดได้ ที่นี่

เรื่องที่เกี่ยวข้อง

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง

Copyright © 2012 TWA Blog. All Rights Reserved.

0 Comment: