Với Sophos Device Encryption, sau khi cài đặt mã hóa ổ đĩa, mỗi khi khởi động vào Windows sẽ luôn bị yêu cầu nhập mật khẩu Bitlocker đã được cấu hình trước đó. Nếu vì một lý do nào đó người dùng quên mật khẩu Bitlocker này, admin vẫn có thể để người dùng thay đổi mật khẩu mới với Recovery key.

Bài viết sẽ hướng dẫn cách lấy Recovery Keys để người dùng đăng nhập vào máy và thay đổi mật khẩu Bitlocker với Sophos Central Device Encryptions.

Hướng dẫn

Bước 1: Lấy Recovery Key ID

Trên máy người dùng quên mật khẩu Bitlocker, nhấn “ESC” trên bàn phím để vào mục Bitlocker Recovery.

Trong Bitlocker Recovery. Bạn chỉ cần tìm phần Recovery Key ID với ID như bên dưới.

Ex: E42FAE84-……

Bước 2: Retrieve Recovery key.

Đăng nhập Sophos Central Admin > Encryption

Có 2 cách để bạn có thể lấy Recovery Key:

Cách 1: Không xác định được thiết bị

Nếu bạn không xác định được máy cần đổi mật khẩu Bitlocker là máy nào, vì số lượng máy quá lớn hay user không nhớ thông tin. Bạn có thể tìm kiếm với Recovery ID đã có.

Trên Encrytion Dashboard > chọn Get a recovery key.

Hoặc từ Encrytion Dashboard > chọn Computer > chọn Retrieve Recovery key.

Cách 2: Xác định được thiết bị

Nếu bạn đã có thông tin về user và tên thiết bị cần đổi mật khẩu bitlocker bạn có thể chọn tên thiết bị đó trong mục Computer, kéo xuống và chọn Retrieve Recovery key. Ex: Máy tính có tên VM10-John-Test-11.

Khi bảng Retrieve Recovery Key hiện lên, bạn điền Recovery Key ID lấy được ở bước 1, bạn chỉ cần điền 5 ký tự đầu thì Sophos sẽ tự động match với đúng với ID đã có.

Chọn Show Key.

Bạn chỉ cần copy Recovery Key cho người dùng đăng nhập.

Dưới máy người dùng, nhập Recovery Key này nhấn Enter để có thể login vào máy.

Bước 3: Đổi mật khẩu Bitlocker.

Sau khi đã đăng nhập vào máy thành công, bạn đợi 1 lúc bảng Sophos Device Encryption sẽ hiện lên yêu cầu bạn nhập Bitlocker Password mới. Sau khi nhập xong click Save new Password. Lần sau đăng nhập bạn sẽ nhập password mới này

Với Device Encryption để xác thực endpoint không hỗ trợ phần cứng bảo mật TPM, bạn có thể cấu hình sử dụng chế độ xác thực passphrase. Người dùng phải nhập passphrase này mỗi khi khởi động Windows để đăng nhập vào máy tính. Bảo vệ bằng passphrase yêu cầu hệ điều hành Windows 8.0 trở lên.

Bài viết sẽ hướng dẫn cấu hình Device Encryption policy cho các máy tính không hỗ trợ phần cứng bảo mật TPM với chế độ xác thực passphrase. Để kiểm tra máy tính bạn có hỗ trợ TPM hay không, bạn search lệnh tpm.msc trên máy tính, nếu kết quả như hình dưới thì máy tính bạn có thể chưa được bật hoặc không hỗ trợ TPM.

Tiếp tục kiểm tra trong Boot Maintenace Manager. Nếu bạn không thấy tùy chọn TPM Configuration thì máy tính của bạn không hỗ trợ TPM.

Hướng dẫn

Bước 1: Tạo Device Encryption Policy

Đăng nhập Sophos Central Admin > Encryption > Policies > Add Policy.

Trong Add policy

Chọn triển khai theo User hoặc Device theo license đã mua. Click Continue.

Trong Create New Encryption Policy

Policy Name: Điền tên policy bạn muốn

Trong bảng Available Computers bạn chọn tên máy tính cần mã hóa (Ex: VM10-John-Test) chuyển qua bảng Assigned Computers bằng dấu mũi tên “>”.

Chuyển qua Settings tab

Turn on Device Encryption

Turn on Require Startup Authentication.

Chuyển qua Policy Enforced tab

Turn on Policy Enforced. Sau đó click Save.

Policy với tên PassphraseCDE đã được tạo.

Bước 2: Device Encryption với Passphrase

Trên máy tính user bạn vào Sophos Endpoint Agent > About (Bên dưới cùng bên phải).

Click chọn Update Now để cập nhật policy.

Sau khi update, một cửa sổ Sophos Device Encryption hiện lên, yêu cầu bạn tạo password, sau khi confirm password chọn Save and Restart.

Sau khi restart cửa sổ Bitlocker password sẽ hiện lên và bạn nhập password đã tạo ở bước trên.

Sau khi đăng nhập vào máy quá trình mã hóa sẽ bắt đầu. Bắt đầu từ ổ C và các ổ đĩa còn lại nếu có

Sau khi mã hóa hết tất cả các ổ đĩa hoàn tất Status trên Sophos Endpoint Agent sẽ hiện “Data protection is on”.

Kiểm tra trên Sophos central máy tính vừa được mã hóa, kéo xuống phần Device Encryption bạn sẽ thấy Authentication Type là Passphrase.

Chế độ xác thực TPM-only sẽ sử dụng phần cứng bảo mật TPM của máy tính để mã hóa, bạn sẽ không cần tạo bất kỳ mã PIN xác thực nào. Điều này có nghĩa là người dùng có thể khởi động máy tính mà không cần được nhắc nhập mã PIN trong khi khởi động Windows.

Bài viết sẽ hướng dẫn các bạn cấu hình policy sử dụng chế độ xác thực TPM-only để mã hóa các ổ đĩa trong máy tính mà không cần tạo và đăng nhập mã PIN xác thực mỗi khi khi khởi động Windows với Sophos Device Encryption.

Để chắc chắn bạn có thể xác nhận máy tính có hỗ trợ TPM hay không bằng cách chạy lệnh tpm.msc trên máy. Nếu có kết quả như hình dưới máy bạn có thể cấu hình chế độ xác thực TPM-only để mã hóa cho máy tính thông qua Sophos Device Encryption.

Hướng dẫn

Bước 1: Tạo Device Encryption Policy

Đăng nhập Sophos Central Admin > My Product > Encryption > Policies > Add Policy.

Trong Add Policy chọn Type là Device hoặc User tùy theo license bạn đã mua.

Click Continue.

Trong View Encrytion Policy.

Policy Name: Điền tên policy bán muốn

Trong bảng Available Computer bạn chọn tên máy tính cần mã hóa (Ex: Desktop-F8C0KAD) chuyển qua bảng Assigned Computers bằng dấu mũi tên “>”.

Chuyển qua Setting tab

Turn On Device Encryption

Bỏ chọn Require startup Authentication: Tắt tính năng này sẽ lựa chọn chỉ sử dụng chế độ xác thực mã hóa là TPM-only.

Chuyển qua Policy Enforced.

Turn on Policy Enforced. Sau đó click Save.

Policy có tên TPM đã được tạo.

Bước 2: Device Encryption với TPM-only.

Trên máy người dùng bạn mở Sophos Endpoint Agent, bạn sẽ thấy Data protection is off do policy Device Encryption chưa được apply xuống máy. Bạn click chọn About (bên góc dưới cùng bên phải).

Click chọn Update Now để cập nhật Policy cho máy. Sau Update xong bạn click chọn Open Endpoint Self help Tool.

Trong phần Status > Device Encrytion > Bitlocker State. Bạn sẽ thấy thông báo “Encryption is not enabled via policy, or at least one volume is not encrypted”.

Bạn cần Restart máy để Device Encrytion policy có thể thực hiện mã hóa máy tính.

Sau khi Restart máy xong bạn vào system tray icon bạn sẽ thấy 1 icon hình ổ khóa với chìa khóa, click vào icon này bạn có thể theo dõi quá trình mã hóa ổ đĩa. Bắt đầu là ổ C.

Sau khi mã hóa ổ C xong, nếu máy tính bạn còn các ổ đĩa khác như D, E, F,… quá trình mã hóa sẽ tiếp tục cho đến khi Bitlocker State hiện thông báo “All volumes are encrypted”.

Kéo xuống phần Volume C, bạn sẽ thấy kiểu Protectors là TPM only.

Hoặc bạn thấy Status “Data protection is on”.

Trên Sophos Central, bạn có thể kiểm tra các máy đã được mã hóa trong Dashboard > Encryption Status.

Ví dụ: 4 Encryption Computers.

Bạn chọn máy tính vừa cấu hình Device Encryption kéo xuống phần Device Encryption bạn sẽ thấy Authentication type là TPM only.