Giới thiệu Bitlocker
Mã hóa ổ đĩa là một trong những lớp phòng thủ cơ bản nhất nhưng cũng dễ bị bỏ qua nhất trong chiến lược bảo mật thiết bị. Một chiếc laptop của doanh nghiệp bị mất hoặc bị đánh cắp không được mã hóa đồng nghĩa với việc toàn bộ dữ liệu trên đó có thể bị trích xuất chỉ bằng cách tháo ổ cứng ra và gắn vào máy khác. BitLocker sẽ giúp giải quyết mối đe dọa này.
BitLocker là tính năng mã hóa ổ đĩa tích hợp trong Windows, giúp bảo vệ dữ liệu khi thiết bị bị mất, bị đánh cắp hoặc bị tháo ổ cứng để truy cập trái phép. Khi triển khai trong môi trường doanh nghiệp, BitLocker thường được dùng để mã hóa:
- Operating system drive: ổ chứa Windows, thường là ổ C.
- Fixed data drives: ổ dữ liệu gắn trong máy.
- Removable drives: USB, ổ cứng rời, thường gọi là BitLocker To Go.
Khi quản lý ở quy mô hàng trăm hoặc hàng nghìn thiết bị, việc cấu hình BitLocker thủ công trên từng máy là bất khả thi. Intune cho phép quản trị viên định nghĩa chính sách mã hóa tập trung, triển khai tự động (kể cả mã hóa “im lặng” không cần người dùng can thiệp), tự động lưu trữ khóa khôi phục (recovery key) vào Microsoft Entra ID, và giám sát trạng thái tuân thủ trên toàn bộ thiết bị.
Phân biệt BitLocker và Device Encryption
BitLocker và Device Encyption đều dùng chung công nghệ mã hóa, nhưng khác nhau ở đối tượng sử dụng và mức độ kiểm soát.
Device Encryption là phiên bản đơn giản hóa, dành cho người dùng thông thường. Tính năng này tự động bật BitLocker trên các thiết bị đủ điều kiện, và recovery key được tự động sao lưu lên Microsoft Entra ID, Active Directory, hoặc tài khoản Microsoft của người dùng. Người dùng không cần cấu hình gì, Windows tự làm tất cả.
BitLocker là phiên bản đầy đủ, dành cho quản trị viên và môi trường doanh nghiệp. BitLocker có thể khóa quá trình khởi động bình thường cho đến khi người dùng nhập PIN hoặc cắm thiết bị chứa startup key cung cấp thêm lớp xác thực bổ sung mà Device Encryption không có.
Dưới đây là bảng so sánh ngắn gọn sự khác biệt giữa 2 chức năng này
| Device Encryption | BitLocker | |
| Tự động bật | Có | Phải bật thủ công |
| Yêu cầu phần cứng | Cao hơn (Modern Standby/HSTI). Phiên bản Windows 11 24H2 loại bỏ yêu cầu này | Thấp hơn (chỉ cần TPM 1.2+) |
| Hỗ trợ PIN / Startup Key | Không | Có |
| Quản lý nâng cao (Group Policy…) | Không | Có |
| Ổ đĩa hỗ trợ | Hệ điều hành, Dữ liệu | Hệ điều hành, Dữ liệu, USB gắn ngoài |
| Đối tượng | Người dùng cá nhân | IT Pro / Doanh nghiệp |
Cấu hình Bitlocker trên Microsoft Intune
Use case
Mục tiêu:
- Mã hóa ổ đĩa cài đặt hệ điều hành và ổ đĩa dữ liệu trên thiết bị
- Người dùng phải nhập PIN trước khi Windows khởi động trên các thiết bị có chip TPM
Cấu hình chính sách Bitlocker
Truy cập Intune Admin Center (https://intune.microsoft.com)> Endpoint Security > Manage > Disk Encryption.
Chọn Create Policy với Platform: Windows và Profile: Bitlocker > Create.
Ở thẻ Basics đặt tên cho chính sách như Bitlocker PIN Requirement và chuyển sang thẻ Configuration settings chứa các cấu hình chính được chia thành 4 khu vực, chúng ta sẽ cùng khám phá mỗi khu vực và hiểu chi tiết ý nghĩa của các cấu hình.
Bitlocker
Require Device Encryption:
Cho phép Quản trị viên yêu cầu bật mã hóa bằng BitLocker / Device Encryption. Khi tắt chính sách, hệ thống sẽ không tự tắt mã hóa trên ổ đĩa hệ thống. Tuy nhiên, hệ thống sẽ ngừng nhắc người dùng bật mã hóa.
Allow Warning For Other Disk Encryption:
Cho phép quản trị viên ẩn toàn bộ thông báo BitLocker và tự động bật mã hóa thiết bị cho người dùng. Lưu ý quan trọng: Nếu thiết bị đang dùng phần mềm mã hóa của bên thứ ba, việc bật BitLocker có thể khiến thiết bị không sử dụng được và phải cài lại Windows.
Allow Standard User Encryption:
Cho phép quản trị viên bắt buộc bật mã hóa thiết bị, kể cả khi người dùng đang đăng nhập là người dùng thường, không có quyền quản trị.
Configure Recovery Password Rotation:
Cho phép Quản trị viên cấu hình việc tự động thay đổi mật khẩu khôi phục dạng số sau khi mật khẩu đó được sử dụng, áp dụng cho:
- Ổ đĩa hệ điều hành
- Ổ đĩa cố định chứa dữ liệu
Và chính sách này áp dụng trên thiết bị:
- Đã join Entra ID
- Đã join Hybrid domain
Các thiết lập tham khảo cho khu vực Bitlocker
Bitlocker Drive Encryption
Choose drive encryption method and cipher strength (Windows 10 [Version 1511] and later):
Thiết lập chính sách này cho phép bạn cấu hình thuật toán mã hóa và độ mạnh của khóa mã hóa được BitLocker Drive Encryption sử dụng. Nếu ổ đĩa đã được mã hóa, hoặc đang trong quá trình mã hóa, thì việc thay đổi phương thức mã hóa sẽ không có tác dụng. Nếu bạn bật chính sách này, bạn có thể cấu hình riêng thuật toán mã hóa và độ mạnh khóa cho từng loại ổ đĩa.
Microsoft khuyến nghị sử dụng thuật toán XTS-AES đối với ổ dữ liệu cố định và ổ hệ điều hành; và dùng AES-CBC trên các ổ đĩa di động.
Provide the unique identifiers for your organization:
Chính sách này cho phép gán mã định danh riêng của tổ chức cho các ổ đĩa mới được bật BitLocker. Mã định danh này giúp xác định ổ đĩa thuộc tổ chức nào và hỗ trợ quản lý các cơ chế khôi phục dữ liệu bằng chứng chỉ.
Các thiết lập tham khảo cho phần Bitlocker Drive Encryption
Operating System Drives
Enforce drive encryption type on operating system drives:
Thiết lập chính sách này cho phép cấu hình kiểu mã hóa được sử dụng bởi BitLocker Drive Encryption. Tổ chức có thể chọn một trong hai kiểu mã hóa là Full encryption (mã hóa toàn bộ ổ đĩa) hoặc Used space only encryption (chỉ mã hóa phần dung lượng đang được sử dụng để lưu dữ liệu). Khi bật chính sách, BitLocker sẽ tự dùng kiểu mã hóa đã cấu hình và người dùng sẽ không được chọn trong trình thiết lập BitLocker. Nếu tắt hoặc không cấu hình, BitLocker sẽ yêu cầu người dùng chọn kiểu mã hóa trước khi bật.
Require additional authentication at startup
Thiết lập chính sách này cho phép cấu hình việc BitLocker có yêu cầu xác thực bổ sung mỗi khi máy tính khởi động hay không. Chính sách này cũng cho phép cấu hình BitLocker trong hai trường hợp máy tính có TPM và máy tính không có TPM.
Với máy có TPM, BitLocker có thể xác thực khi khởi động bằng
- TPM startup (chỉ yêu cầu chip TPM)
- TPM startup key (yêu cầu chip TPM + USB)
- TPM startup key and PIN (yêu cầu chip TPM + USB + mã PIN)
- TPM startup PIN (chỉ yêu cầu mã PIN)
Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive): Nếu máy không có TPM, có thể cho phép dùng BitLocker bằng cách yêu cầu: mật khẩu khởi động, hoặc USB chứa khóa khởi động. Nếu mất USB hoặc quên mật khẩu, người dùng phải dùng tùy chọn khôi phục BitLocker để truy cập ổ đĩa.
Configure minimum PIN length for startup:
Cài đặt chính sách này cho phép bạn quy định độ dài tối thiểu của mã PIN khởi động TPM. Mã PIN khởi động phải có tối thiểu 4 chữ số, tối đa 20 chữ số.
Allow enhanced PINs for startup:
Cài đặt chính sách này cho phép bật hoặc tắt mã PIN khởi động nâng cao của BitLocker. PIN nâng cao có thể dùng: chữ hoa, chữ thường, ký tự đặc biệt, số, dấu cách. Nếu bật chính sách này, tất cả mã PIN khởi động BitLocker mới sẽ là PIN nâng cao.
Disallow standard users from changing the PIN or password
Chính sách này cho phép kiểm soát việc người dùng thường có được đổi mã PIN hoặc mật khẩu BitLocker hay không. Người dùng chỉ có thể đổi khi biết PIN hoặc mật khẩu hiện tại. Nếu bật chính sách: Người dùng thường không được phép đổi PIN hoặc mật khẩu BitLocker. Nếu tắt hoặc không cấu hình: Người dùng thường được phép đổi PIN hoặc mật khẩu BitLocker.
Allow devices compliant with InstantGo or HSTI to opt out of pre-boot PIN.
Chính sách này cho phép thiết bị đạt chuẩn InstantGo hoặc Microsoft HSTI bật BitLocker mà không cần mã PIN xác thực trước khi khởi động. Chính sách này sẽ ghi đè các tùy chọn yêu cầu PIN trong chính sách Require additional authentication at startup trên phần cứng tương thích.
Enable use of BitLocker authentication requiring preboot keyboard input on slates
Chính sách này cho phép người dùng bật các tùy chọn xác thực BitLocker cần nhập thông tin trước khi Windows khởi động, ngay cả khi thiết bị không hỗ trợ nhập liệu ở giai đoạn này. Ví dụ: Bàn phím cảm ứng của Windows trên máy tính bảng không dùng được trong môi trường trước khi khởi động. Nếu BitLocker yêu cầu nhập PIN hoặc mật khẩu, thiết bị cần có cách nhập khác như bàn phím USB.
Nếu bật chính sách: Thiết bị phải có phương thức nhập thay thế trước khi khởi động. Nếu không bật: Máy tính bảng cần bật Windows Recovery Environment để nhập mật khẩu khôi phục BitLocker. Nếu không bật cả chính sách này và Windows Recovery Environment, thiết bị dùng bàn phím cảm ứng có thể không bật được BitLocker.
Choose how BitLocker-protected operating system drives can be recovered
Chính sách này cho phép cấu hình cách khôi phục ổ hệ điều hành được bảo vệ bằng BitLocker khi thiếu thông tin khởi động cần thiết.
Configure pre-boot recovery message and URL
Chính sách này cho phép cấu hình thông báo khôi phục BitLocker hoặc URL khôi phục hiển thị trên màn hình khôi phục trước khi Windows khởi động, khi ổ hệ điều hành bị khóa.
Các thiết lập tham khảo cho phần Operating System Drives trong đó sẽ yêu cầu thiết bị có chip TPM và thêm mã PIN để đăng nhập thiết bị
Kiểm tra các thiết lập trên Microsoft Intune
Truy cập Microsoft Intune Admin Center, Endpoint Security > Disk Encryption và chọn vào chính sách Bitlocker đã thiết lập.
Chọn View Report và nhấn vào thiết bị xuất hiện trong danh sách. Tất cả các thiết lập đã áp dụng trên thiết bị này sẽ hiển thị trong mục Policy Settings.
Cấu hình Bitlocker trên thiết bị người dùng
Trên thiết bị của người dùng với các thiết lập đã chọn, cơ chế tự động mã hóa sẽ được thiết lập. Quản trị viên có thể cấu hình mã PIN trước khi chuyển máy đến người dùng trong tổ chức.
Trên thiết bị client đã triển khai chính sách qua Intune, mở giao diện quản lý Bitlocker thông qua đường dẫn Control Panel\System and Security\BitLocker Drive Encryption. Chọn Change how drive is unlocked at startup.
Chọn Enter a Pin (recommended)
Nhập mã PIN và chọn Set PIN. Lưu ý rằng độ dài ký tự và độ phức tạp của mã PIN sẽ do hai cấu hình Configure minimum PIN length for startup và Allow enhanced PINs for startup quyết định.
Sau khi cấu hình xong, mỗi khi người dùng mở thiết bị trước khi vào Windows, máy tính sẽ yêu cầu nhập mã PIN như giao diện bên dưới.
