Monday, June 20, 2011

Turning on BitLocker Drive Encryption on System Drive in Windows 7

การเข้ารหัสไดรฟ์ระบบของ Windows 7 ด้วย BitLocker Drive Encryption
BitLocker Drive Encryption เป็นคุณสมบัติของ Windows 7 ที่ช่วยป้องกันการเข้าถึงข้อมูลจากผู้ที่ไม่มีสิทธิ์ โดยการเข้ารหัสข้อมูลที่เก็บอยู่ในไดรฟ์หรือพาร์ติชันด้วยรหัสผ่านที่ผู้ใช้เป็นผู้กำหนด อย่างไรก็ตาม BitLocker Drive Encryption นั้นจะมีเฉพาะใน Windows 7 รุ่น Ultimate และ Enterprise เท่านั้น โดย BitLocker ใน Windows 7 นั้นสามารถใช้ในการเข้ารหัสข้อมูลได้ทั้งไดรฟ์ข้อมูลและไดรฟ์ระบบ (ไดรฟ์ที่ติดตั้ง Windows 7) รวมถึงอุปกรณ์เก็บข้อมูลแบบพกพา อย่างไรก็ตาม ในการเข้ารหัสข้อมูลไดรฟ์ระบบของ Windows 7 นั้น โดยดีฟอลท์เครื่องคอมพิวเตอร์จะต้องมีและเปิดใช้งาน Trusted Platform Module (TPM) และจะต้องทำการเริ่มต้น Trusted Platform Module (TPM) ก่อนตามวิธีการที่อธิบายในบทความเรื่อง การเริ่มต้น Trusted Platform Module (TPM) ใน Windows 7

การเข้ารหัสข้อมูลไดรฟ์ระบบของ Windows 7 เป็นการทำงานร่วมกันระหว่าง BitLocker Drive Encryption กับ TPM ซึ่งจะทำช่วยป้องกันการเข้าถึงข้อมูลได้ทั้งในกรณีฮาร์ดดิสก์ถูกถอดออกจากระบบแล้วนำไปต่อในคอมพิวเตอร์เครื่องอื่นเพื่อบูทระบบหรืออ่านข้อมูล และเมื่อมีการเปลี่ยนแปลงการตั้งค่าในระบบ BIOS หรือองค์ประกอบการเริ่มต้นการทำงานอื่นๆ ในกรณีที่ TPM ตรวจพบการเปลี่ยนแปลงต่างๆ ดังที่กล่าวมา BitLocker ก็จะทำการล็อคการเข้าถึงข้อมูลจนกว่าจะมีการป้อนคีย์กู้คืนข้อมูลที่ถูกต้อง

สำหรับบทความนี้จะเป็นการสาธิตวิธีการเข้ารหัสข้อมูลไดรฟ์ระบบของ Windows 7 Enterprise Service Pack 1 (SP1) ด้วย BitLocker ซึ่งมีขั้นตอนดังนี้
1. ทำการล็อกออนเข้าระบบด้วยแอคเคาท์กลุ่มแอดมิน จากนั้นคลิก Start แล้วพิมพ์ bitlocker ในช่อง Search programs and files จากนั้นคลิกเลือก BitLocker Drive Encryption ที่แสดงในรายการภายใต้หัวข้อ Programs จะปรากฏหน้าต่าง BitLocker Drive Encryption
2. ในหน้าต่าง BitLocker Drive Encryption ในหัวข้อ Hard Disk Drives ให้คลิกลิงก์ Turn On BitLocker ของไดรฟ์ที่ติดตั้งระบบ Windows 7 ดังรูปที่ 1

รูปที่ 1

3. ในหน้าต่าง BitLocker Drive Encryption: How do you want to store your recovery key? ดังรูปที่ 2 ให้เลือกวิธีการเก็บคีย์กู้คืนข้อมูล ซึ่งมี 3 แบบด้วยกันคือ Save the recovery key to a USB flash drive ซึ่งเป็นการเก็บไว้ในแฟลชไดรฟ์, Save the recovery key to a file ซึ่งเป็นการเก็บไว้ในไฟล์ และ Print the recovery key ซึ่งเป็นการเก็บไว้โดยการพิมพ์ออกทางเครื่องพิมพ์ ในที่นี้เลือกแบบแรก

รูปที่ 2

จากนั้น ในหน้าไดอะล็อกบ็อกซ์ Save a Recovery Key to a USB Drive ดังรูปที่ 3 ให้คลิกเลือกแฟลชไดรฟ์ที่ต้องการใช้เก็บคีย์กู้คืนข้อมูล เสร็จแล้วคลิก Save รอจนการทำงานแล้วเสร็จ จากนั้นให้คลิก Next เพื่อไปยังขั้นตอนถัดไป

รูปที่ 3

4. ในหน้าต่าง BitLocker Drive Encryption: Are you ready to encrypt this drive? ให้คลิกเลือกเช็คบ็อกซ์ Run BitLocker system check เพื่อตรวจสอบให้แน่ใจว่า BitLocker จะสามารถอ่านและกู้คืนคีย์สำหรับเข้ารหัสข้อมูลได้ถูกต้องก่อนที่จะทำการเข้ารหัสข้อมูล โดยในระหว่างนี้จะต้องต่อแฟลชไดรฟ์ที่ใช้เก็บคีย์กู้คืนข้อมูลที่ได้ในขั้นตอนที่ 3 เข้ากับเครื่องคอมพิวเตอร์ตลอดเวลา โดย BitLocker จะทำการรีสตาร์ทเครื่องคอมพิวเตอร์ก่อนที่จะทำการเข้ารหัสข้อมูล จากนั้นให้คลิก Continue

รูปที่ 4

จะปรากฏหน้าไดอะล็อกบ็อกซ์ BitLocker Drive Encryption: The computer must be restarted ดังรูปที่ 5 ตรวจสอบให้แน่ใจว่าได้ทำการต่อแฟลช์ไดรฟ์ที่ใช้เก็บคีย์กู้คืนข้อมูลเข้ากับเครื่องคอมพิวเตอร์เรียบร้อยแล้ว จากนั้นให้คลิก Restart Now เพื่อทำการรีสตาร์ทเครื่องคอมพิวเตอร์

รูปที่ 5

5. หลังจากเครื่องคอมพิวเตอร์พร้อมใช้งานให้ทำการล็อกออนเข้า Windows 7 อีกครั้ง แล้วรอจน BitLocker ทำการเข้ารหัสข้อมูลไดรฟ์ระบบของ Windows 7 จนแล้วเสร็จ ซึ่งอาจใช้เวลานานหลายสิบนาที ทั้งนี้ขึ้นอยู่กับขนาดของไดรฟ์ หลังจากทำการเข้ารหัสข้อมูลเสร็จจะปรากฏหน้าไดอะล็อกบ็อกซ์ BitLocker Drive Encryption: Encryption of C: is complete. ดังรูปที่ 6 ให้คลิก Close เพื่อจบการทำงาน

รูปที่ 6

ผลการทำงาน
หลังจากทำการเข้ารหัสข้อมูลไดรฟ์ระบบของ Windows 7 เสร็จแล้ว สามารถทดสอบการทำงานได้เป็น 2 กรณี ดังนี้
1. นำฮาร์ดิสก์ไปบูทเข้า Windows 7 บนคอมพิวเตอร์เครื่องอื่น
เมื่อนำฮาร์ดิสก์ดังกล่าวไปติดตั้งในคอมพิวเตอร์เครื่องอื่นและทำการบูทเครื่องเพื่อเข้า Windows 7 ระบบจะถามให้ป้อนรหัส TPM Owner Password ที่ได้จากการดำเนินการในบทความเรื่อง "การเริ่มต้น Trusted Platform Module (TPM) ใน Windows 7" และ คีย์กู้คืนข้อมูล (Recovery key) ที่ได้จากขั้นตอนที่ 3 ด้านบน หากไม่มีคีย์ทั้ง 2 อย่างนี้ก็จะไม่สามารถบูทเครื่องเข้า Windows 7 ได้
2. นำฮาร์ดิสก์ไปพ่วงกับคอมพิวเตอร์เครื่องอื่น
เมื่อนำฮาร์ดิสก์ดังกล่าวไปต่อกับคอมพิวเตอร์เครื่องอื่นที่ใช้ Windows แล้วบูทเข้า Windows เมื่อพยายามเข้าถึงข้อมูลในไดรฟ์ระบบของ Windows 7 ที่มีการเข้ารหัสข้อมูล ระบบจะให้ต่อแฟลชไดรฟ์ (หรือป้อนคีย์กู้คืนข้อมูล) ที่ได้ในขั้นตอนที่ 3 ด้านบน หากไม่มีคีย์ดังกล่าวก็จะไม่สามารถเข้าถึงข้อมูลได้
3. เปลี่ยนแปลงคอนฟิกใน BIOS
เมื่อทำการเปลี่ยนแปลงคอนฟิกใน BIOS และทำการบูทเครื่องเพื่อเข้า Windows 7 ระบบจะถามให้ป้อนรหัส BitLocker Recovery Key ที่ได้ในขั้นตอนที่ 3 ด้านบน หากไม่มีคีย์ดังกล่าวก็จะไม่สามารถบูทเครื่องเข้า Windows 7 ได้

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง
Technet

Copyright © 2011 TWA Blog. All Rights Reserved.

0 Comment: