วันอาทิตย์ที่ 12 มิถุนายน พ.ศ. 2559

ปกป้องข้อมูลด้วย BitLocker และ MBAM ตอนที่ 1

    
สวัสดีครับท่านผู้อ่านทุกท่าน ถ้าหากพูดถึงข้อมูลแล้ว ถือว่าเป็นส่วนที่สำคัญที่หลายๆ องค์กรหรือแม้กระทั่งผู้ใช้งานเองพยายามปกป้องรักษาให้ดีที่สุดเท่าที่จะเป็นไปได้  ดังนั้นหลายๆ องค์กรจึงพยายามเสาะหาโซลูชั่นหรือเครื่องไม้เครื่องมือที่จะเข้ามาช่วยในการปกป้องข้อมูล เพื่อไม่ให้ข้อมูลที่สำคัญรั่วไหลหรือตกไปอยู่ในมือของคนที่เราไม่ต้องการ  สิ่งที่ผมเกริ่นทั้งหมดนั้นผมกำลังพูดถึงการปกป้องข้อมูลเพือไม่ให้รั่วไหลไปถึงคนที่เราหรือองค์กรไม่พึงประสงค์จะให้เข้าถึงข้อมูลเหล่านี้ได้ครับ
เพราะฉะนั้นบทความนี้ผมกำลังหยิบยกเอาฟีเจอร์หนึ่งของ Windows มาเล่าสู่กันฟังครับ โดยฟีเจอร์ดังกล่าวนี้ผมเชื่อว่าท่านผู้อ่านทุกท่านน่าจะเคยได้ยินหรือบางท่านอาจจะกำลังใช้อยู่ครับ  ฟีเจอร์ที่ว่านี้คือ “BitLocker” ครับโดยผมจะพาท่านผู้อ่านทุกท่านไปทำความรู้จักกับ BitLocker กันครับว่ามีคอนเซปและรายละเอียดเป็นอย่างไรครับ  และเพื่อไม่ให้เป็นการเสียเวลาเรามาทำความรู้จักกันเลยครับผม
 
BitLocker
BitLocker เป็นฟีเจอร์หนึ่งใน Windows ที่ช่วยในเรื่องของความปลอดภัย นั่นก็คือการเข้ารหัสข้อมูลครับ โดยฟีเจอร์ดังกล่าวนี้มีวัตถุประสงค์เพื่อช่วยปกป้องข้อมูลของผู้ใช้งานในองค์กรไม่ให้รั่วไหลหรือไม่ตกในมือของผู้ที่ไม่หวังดี อีกทั้งยังปกป้องข้อมูลจากภัยคุกคามต่างๆ ด้วยครับ โดยทางไมโครซอฟท์ได้เตรียม BitLocker ไว้ให้ลูกค้าของไมโครซอฟท์ใช้งาน 2 แบบ คือ
1. BitLocker Drive Encryption (BDE)
2. BitLocker To Go
 
BitLocker Drive Encryption (BDE)
หรือจะเรียกว่า BitLocker เฉยๆ ก็ได้ครับ โดย BitLocker ที่ว่านี้จะช่วยท่านผู้อ่านในการเข้ารหัสข้อมูลที่เก็บอยู่ในพาร์ติชั่นหรือโวลุ่มที่อยู่ใน Windows ครับ  โดยพาร์ติชั่นหรือโวลุ่มดังกล่าวจะเป็นแบบ Fixed หรือ Removable ก้อได้ครับ และ BitLocker สามารถเข้ารหัสได้ทั้งพาร์ติชั่นหรือโวลุ่มที่เก็บระบบปฏิบัติการ Windows หรือข้อมูลก้อได้ครับ ซึ่งจะทำงานร่วมกับ TPM (Trusted Platform Module) ชิฟ เพื่อเก็บ Encryption Key หรือจะเก็บไว้ในแฟรชไดรฟ์หรือเก็บไว้ใน Active Directory ครับ  และรูปด้านล่างคือการ Turn on BitLocker ครับ
 
 
ผมขอเพิ่มเติมข้อมูลเกี่ยวกับเครื่องที่จะสามารถใช้งาน BitLocker ได้นั้นจะต้องมีคุณสมบัติดังนี้ครับผม
- มี TPM ชิฟ เวอรชั่น 1.2 ขึ้นไป
- สามารถ Boot ผ่าน USB ได้
- พาร์ติชั่นหรือโวลุ่มต้องเป็น NTFS
หากในกรณีที่เครื่องของท่านผู้อ่านไม่มี TPM ชิปดังกล่าว ท่านผู้อ่านจะเห็นหน้าตาดังรูปด้านล่างครับผม
 
 
จากนั้นท่านผู้อ่านจะต้องไปกำหนดค่าต่างๆ ใน Group Policy โดยให้ท่านผู้อ่านเรียกเครื่องมือที่ชื่อว่า “Local Group Policy Editor” หรือ gpedit  จากนั้นให้ไปที่ Computer Configuration -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption -> Operating System Drives  ดังรูปด้านล่างครับผม
 

จากนั้นให้ไปที่ Require additional authentication at startup ตามรูปด้านบน จากนั้นให้คลิ๊ก Enable และกำหนดเลือกเช็คบ๊อกซ์ Allow BitLocker without a compatible TPM (require a password or a startup key on USB flash drive) ดังรูปด้านล่างครับผม
ในกรณีที่เครื่องมี TPM ชิฟ ให้ท่านผู้อ่านทำการคลิ๊ก Turn on BitLocker จากนั้นจะให้ทำการใส่พลาสเวิรด์ ดังรูปด้านล่างครับ
 
จากนั้นท่านผู้อ่านจะต้องเลือกครับว่าจะเก็บ Recovery Key ไว้ที่ไหนครับ ผมแนะนำให้เลือก Save to a file เพื่อเก็บ Recovery File ดังกล่าวไว้ข้างนอก เช่นใน External Disk หรือจะทำแบบผมคือ ไปเก็บไว้ใน OneDrive เลยครับ  หรือท่านผู้อ่านจะเลือกเก็บไว้ในแฟลชไดรฟ์ก็ได้ครับผม
 

จากนั้นท่านผู้อ่านจะต้องเลือกครับว่าจะทำการเข้ารหัสด้วยออฟชั่นใด ดังรูปด้านล่างครับ โดยในกรณีถ้าเครื่องของท่านผู้อ่านเป็นเครื่องใหม่เลย ให้เลือกออฟชั่นแรกครับเพราะมันจะทำการเข้ารหัสได้เร็วครับ แต่สำหรับในกรณีที่เป็นเครื่องที่ใช้งานกันอยู่แล้วให้เลือกออฟชั่นที่สองครับผม
สำหรับในกรณีที่เครื่องของท่านผู้อ่านเป็น Windows 10 ที่มี Build Updates หลังเดือนพฤศจิกายน จะมีออฟชั่นของ Disk Encryption Mode (XTS-AES) เพื่อเพิ่มประสิทธิภาพในการเข้ารหัสครับ เพราะฉะนั้นถ้าเครื่องของท่านผู้อ่านเป็น Windows 10 และมี Build Updates ดังกล่าวให้เลือกออฟชั่นนี้ครับผม
จากนั้นจะเริ่มเข้าสู่การเข้ารหัสครับ
ให้ท่านผู้อ่านคลิ๊ก Continue ครับ ซึ่งก็จะใช้เวลาพอสมควรครับ ทั้งนี้จะขึ้นอยู่กับพาร์ติชั่นหรือโวลุ่มว่ามีข้อมูลมากหรือน้อยเพียงไรครับผมและทั้งหมดนี้คือเรื่องราวของ BitLocker แล้วพบกันใหม่ในตอนต่อไปครับผม…..
 
 
 

ไม่มีความคิดเห็น:

แสดงความคิดเห็น