Thực tế cho thấy, biện pháp duy nhất để đảm bảo tính "bí mật" tuyệt đối cho các tập tin dữ liệu là bạn hãy mã hóa chúng. Tiện ích Encrypting File System (EFS) trong hầu hết các phiên bản Windows Vista, XP và 2000 có khả năng "xáo trộn" nội dung của các tập tin và thư mục, qua đó làm cho những kẻ tò mò gặp phải nhiều khó khăn để đọc chúng.
| Hình 1: Nhanh chóng kích hoạt tính năng mã hóa tập tin từ bất kỳ cửa sổ thư mục nào. |
Chuẩn bị mã hóa: EFS có trong phiên bản Windows Vista Business, Enterprise và Ultimate; Windows XP Pro cũng như Windows 2000. Đáng tiếc, Windows XP Home thiếu tính năng EFS và các phiên bản Starter, Home Basic và Home Premium của Vista chỉ cho phép thực hiện giải mã – bạn chỉ đọc được các tập tin đã mã hóa chứ không thể mã hóa chúng. Để sử dụng EFS trên một phân vùng đĩa cứng thì bắt buộc phân vùng này phải được định dạng ở chuẩn hệ thống tập tin NTFS. Ngoài ra, việc mã hóa tập tin yêu cầu bạn sử dụng một tài khoản đăng nhập hệ thống được bảo vệ bằng mật khẩu.
Sắp xếp tập tin: Để mã hóa một tập tin hay thư mục, trong cửa sổ Explorer hay cửa sổ thư mục bất kỳ, bạn nhấn phải chuột lên tập tin hay thư mục đó, chọn Properties (bạn cũng có thể nhấn phải chuột lên một nhóm tập tin hay thư mục để mã hóa cùng lúc chúng). Trong thẻ General, bạn nhấn Advanced, đánh dấu chọn mục Encrypt contents to secure data và sau đó nhấn OK hai lần (Hình 1). Nếu đang mã hóa một thư mục, bạn sẽ được hỏi xem có muốn mã hóa các tập tin và thư mục con của thư mục này hay không. Một khi đã được mã hóa, các tập tin và thư mục trên sẽ hoạt động giống như mọi tập tin/thư mục khác trong hệ thống, bạn không phải sử dụng bất kỳ mật khẩu đặc biệt nào để mở hay lưu chúng. Các tài khoản người dùng khác của máy tính này hay các máy tính khác trên mạng không thể xem nội dung của các tập tin đã được EFS mã hóa.
Hợp lý hóa các bước thực hiện: Bạn có thể rút ngắn quá trình thực hiện bằng cách bổ sung lệnh Encrypt vào trình đơn ngữ cảnh (tên của lệnh này sẽ chuyển thành Decrypt khi bạn nhấn phải chuột lên tập tin đã được mã hóa). Bạn có thể thực hiện điều này trong Windows XP bằng cách chỉnh sửa nhanh Registry, tuy nhiên bạn sẽ cảm thấy dễ dàng và an toàn hơn khi sử dụng tiện ích Tweak UI của Microsoft (find.pcworld.com /56472) - nếu đã có sẵn Tweak UI trong hệ thống, bạn nên tải về bản nâng cấp mới nhất cho tiện ích này. Một khi Tweak UI đã được cài đặt, bạn chọn Explorer ở khung cửa sổ bên trái, cuộn qua hết các tùy chọn ở khung cửa sổ bên phải và đánh dấu chọn mục Show "Encrypt" on context menu (Hình 2). Nhấn OK. Từ đây trở đi, mỗi khi nhấn phải chuột lên một tập tin chưa được mã hóa, bạn sẽ thấy lệnh Encrypt (hoặc Decrypt nếu bạn chọn một tập tin đã được mã hóa) xuất hiện.
Hình 2: Bổ sung tính năng mã hóa/giải mã tập tin vào trình đơn ngữ cảnh bằng Tweak UI. | |
Tính đến thời điểm hiện tại, Tweak UI chưa tương thích với hệ điều hành Windows Vista. Tuy nhiên, tiện ích Tweak UI Basic miễn phí của Totalidea Software (find.pcworld.com/56473) sẽ giúp bạn tinh chỉnh nhiều thông số cài đặt của Vista cũng như bổ sung lệnh Encrypt/Decrypt vào trình đơn ngữ cảnh.
Hiển thị theo ý riêng: Để biết được cụ thể những tập tin hoặc thư mục nào trong hệ thống đã được mã hóa (hay trong trường hợp này là sử dụng tính năng nén NTFS), bạn mở tiện ích Windows Explorer và chọn Tools.Folder Options. Trong Vista, để mở hộp thoại Folder Options trong cửa sổ Explorer, bạn chọn Organize.Folder and Search Options.
Tiếp đến, chọn thẻ View và bạn hãy đảm bảo rằng tùy chọn Show encrypted or compressed NTFS files in color ở mục Advanced Settings đã được đánh dấu (Windows XP và Vista mặc định đánh dấu tùy chọn này). Các đối tượng (tập tin hay thư mục) được mã hóa sẽ có màu xanh lá cây, còn đối tượng được nén có màu xanh dương. Ngược lại, nếu bạn không muốn người khác biết được những tập tin nào đã mã hóa hoặc đã nén, hãy bỏ chọn đối với tùy chọn này. Nhấn OK để kết thúc.
| Hình 3: Chỉ định những người dùng "tin cẩn" được quyền truy xuất các tập tin mã hóa. |
Cấp quyền cho người dùng: Để cho phép người dùng khác đang sử dụng chung máy tính của mình truy cập vào các tập tin mã hóa, bạn có thể chỉ định cụ thể từng người dùng dựa trên tên tài khoản của họ. Đầu tiên, bạn nhấn phải chuột lên một tập tin đã mã hóa (không phải là một thư mục hoặc nhiều tập tin) và chọn Properties. Trong thẻ General, bạn nhấn Advanced , và bên cạnh mục Encrypt contents to secure data, bạn chọn Details. Trong hộp thoại vừa xuất hiện, bạn nhấn Add để mở hộp thoại Select User, nơi liệt kê những người dùng có giấy chứng nhận (một loại tài liệu số giúp chứng nhận tính xác thực) được quyền truy xuất hệ thống của bạn (Hình 3). Người dùng có thể yêu cầu giấy chứng nhận bằng nhiều cách khác nhau, nhưng một trong những cách đơn giản nhất là thực hiện mã hóa bất kỳ tập tin nào của mình. Tiếp đến, bạn chọn người dùng mà mình tin tưởng và nhấn OK. Lưu ý: nút Find User trong hộp thoại Select User sẽ không hoạt động trừ trường hợp mạng nội bộ của bạn có sử dụng Active Directory, một dịch vụ trong Windows cho phép nhà quản trị hệ thống có thể lưu trữ và chuẩn bị sẵn thông tin trên các thiết bị mạng.
Để biết thêm thông tin về loại chứng nhận số này, bạn chọn Start.Help and Support, nhập vào certificates overview, rồi ấn .Vô hiệu hóa, đừng xóa: Bởi vì tập tin mã hóa được gắn liền với profile của người dùng, do đó việc xóa profile này sẽ ngăn cản người dùng tương ứng truy xuất các tập tin mã hóa của chính mình. Tuy nhiên, tốt hơn hết là bạn chỉ nên vô hiệu hóa profile của một người dùng thay vì xóa hẳn nhằm đề phòng trường hợp người dùng này quay trở lại làm việc. Cách thực hiện khá đơn giản, trong XP, chọn Start.Run, gõ vào lệnh lusrmgr.msc và ấn . Trong Vista, bạn nhấn Start và nhập vào lệnh tương tự trong hộp thoại Start Search. Sau đó, nhấn chuột lên biểu tượng thư mục Users ở khung cửa sổ bên trái và nhấn đúp chuột lên tên profile của người dùng cần vô hiệu hóa trong khung cửa sổ bên phải. Trong thẻ General, bạn đánh dấu chọn mục Account Disable rồi nhấn OK. Tiện ích EFS miễn phí: Nếu bạn cần một công cụ mã hóa mạnh mẽ hơn những gì mà tính năng EFS của Windows cung cấp, hãy tải về hai tiện ích miễn phí dành cho Windows XP là TrueCrypt và Windows Toolbox tại địa chỉ find.pcword.com/56470.
Hình 4: Dùng tiện ích mã hóa BitLocker của Windows Vista mà không cần trang bị chip bảo mật TPM, thay vào đó là sử dụng bút nhớ USB. | |
Khóa tất cả dữ liệu với BitLocker: Mã hóa toàn bộ đĩa cứng sẽ gây khó khăn hơn cho các phần mềm nguy hại lây nhiễm vào các tập tin hệ thống của Vista cũng như hạn chế tối đa người dùng khác giải mã dữ liệu của bạn. Tính năng BitLocker trong phiên bản Ultimate và Enterprise của Windows Vista sẽ mã hóa toàn bộ phân vùng đĩa cứng dùng để cài đặt hệ điều hành này, đồng thời lưu khóa mã hóa (hay nói chính xác là khóa giải mã) trong chip bảo mật Trusted Platform Module của máy tính hoặc một bút nhớ USB. Bởi vì nhiều máy tính không được trang bị chip TPM nên bút nhớ USB là lựa chọn hấp dẫn nhất, tuy nhiên điều này mặc định bị Vista vô hiệu hóa.
Muốn kích hoạt tùy chọn này, bạn nhấn Start, gõ vào lệnh gpedit.msc vào hộp thoại Start Search và ấn để khởi chạy tiện ích Group Policy Object Editor. Trong khung cửa sổ bên trái, bạn tìm và chọn mục Computer Configuration. Administrative Templates.Windows Components.BitLoker Drive Encryption, nhấn đúp chuột vào mục Control Panel Setup:Enable advanced startup options. Tiếp theo, bạn chọn Enabled, đánh dấu chọn mục Allow BitLoker without a compatible TPM và nhấn OK (Hình 4). Từ đây trở đi, bất cứ khi nào khởi chạy BitLoker Drive Encryption trong Control Panel, bạn sẽ không còn bị than phiền về việc hệ thống thiếu thành phần TPM và applet này sẽ cung cấp một liên kết mới mang tên Turn On BitLoker. BitLoker yêu cầu hệ thống của bạn phải hỗ trợ khả năng khởi động từ bút nhớ USB và có một phân vùng không mã hóa riêng.