Bảo mật dữ liệu với công cụ sẵn có của Windows XP Professional

Encrypting File System (EFS) là tính năng bảo mật sẵn có trong Windows XP Professional giúp bạn bảo vệ các tập tin và thư mục riêng tư cần được bảo mật. Lưu ý là tính năng này chỉ chạy được trên các phân vùng NTFS và không có trong phiên bản Home của hệ điều hành Windows XP. Khác với các ứng dụng của các hãng phát triển khác, tính năng EFS không yêu cầu một mật khẩu kèm theo mà dựa trên cơ chế đặc biệt hoàn toàn khác dẫn đến việc nhiều người tưởng tính năng này không hoạt động, trong khi một số người khác lại không thể mở chính các tập tin của mình. Các kiến thức cơ bản về EFS sẽ giúp dữ liệu của bạn được bảo vệ với phương thức đơn giản mà hiệu quả hơn bao giờ hết.

Giải thích về thao tác mã hóa

Mã hóa là một tiến trình mà qua đó nội dung của một tập tin sẽ được xử lý bởi một thuật toán đặc biệt để tạo ra một phiên bản khác của tập tin và tập tin này không thể nào được mở cho đến khi nó “nhận” được một khóa thích hợp.

Trong đa số trường hợp, khóa sẽ là một mật khẩu nhưng với một số khác thì khóa lại là một chứng thực cá nhân (kiểu như lấy dấu tay). Trong trường hợp của EFS, chỉ có khóa được dùng khi mã hóa tập tin mới giải mã được tập tin đó.

Nếu bạn từng sử dụng cơ chế quyền trong NTFS để đảm bảo các tập tin chỉ được xem bởi những người có quyền thích hợp thì EFS đưa việc bảo mật lên một cấp cao hơn. Ví dụ, nếu bạn đặt các tập tin trong các thư mục hạn chế truy cập (sẽ đề cập trong bài khác) thì một người có quyền quản trị (administrator) vẫn có thể xem được nội dung các tập tin được bảo vệ này do quyền quản trị là quyền cao nhất trong Windows và xác lập đè lên tất cả các quyền người dùng khác. Ở tình huống tương tự, nếu ai đó lấy “trộm” được các tập tin trên thì họ vẫn có thể dùng quyền quản trị trên máy họ để xem được các tập tin này.

Tuy nhiên, khi các tập tin của bạn được mã hóa bằng tính năng EFS, chỉ có cách biết được khóa dùng khi mã hóa mới có thể giải mã để xem được nội dung tập tin. Vấn đề nhiều người thắc mắc khi dùng tính năng này là khóa của các tập tin bị mã hóa là gì? Được cất ở đâu? Làm sao sử dụng? Chia sẻ các tập tin bị mã hóa với người khác như thế nào? Tất cả những thắc mắc này sẽ được giải đáp ở phần “Cách thức hoạt động của EFS”.

Cách thức hoạt động của EFS

EFS dùng để mã hóa các tập tin (thư mục) trong phân vùng NTFS của các hệ thống chạy Windows XP Professional (và 2003 Server). EFS không có trong Windows XP Home nhưng bạn vẫn có thể sử dụng tính năng tương tự nhờ vào một công cụ miễn phí có tên Dekart Private Disk Lite (www.dekart.com).

Windows XP sẽ tự động sinh ra một khóa duy nhất để bảo mật các tập tin được mã hóa. Sau khi quá trình mã hóa kết thúc, khóa sẽ được mã hóa chung với tài khoản người dùng của bạn và chứa chúng vào ngay trong tập tin bị mã hóa. Ngay cả người quản trị cũng không thể biết được tài khoản của bạn mà họ chỉ có thể “reset” lại chúng, và khi đó sẽ dẫn đến tình trạng là cả bạn và người quản trị đều không thể giải mã các tập tin đó nữa.

Vấn đề này được giải thích dựa trên nguyên tắc “tài khoản người dùng mỗi khi được tạo sẽ là duy nhất”, kể cả khi bạn sang một máy khác và tạo một tài khoản với tên truy cập, mật khẩu và quyềny hệt thì đó vẫn là một tài khoản khác, bạn vẫn không thể xem được các tập tin đã bị mã hóa. Do đó để tránh tình trạng “ăn không được, phá cho hôi” của người quản trị hoặc các hỏng hóc hệ thống làm tài khoản của bạn mất đi hoặc thay đổi, bạn cần sao lưu lại các khóa, và đó là nội dung của phần “Sao lưu và phục hồi các khóa”.

Sử dụng EFS

Có hai cách thức mã hóa sử dụng EFS: mã hóa từ tập tin riêng rẽ và mã hóa thư mục (bao gồm cả các tập tin và thư mục con trong đó). Để đơn giản, bạn nên tạo một thư mục và bỏ tất cả các tập tin cần bảo vệ vào đó và mã hóa thư mục này. Từ đó về sau, mỗi khi bạn lưu, di chuyển hay sao chép vào trong thư mục bị mã hóa thì chúng cũng bị mã hóa theo.

Vào My Computer để tìm đến thư mục mà bạn muốn mã hóa > nhấn chuột phải lên nó > chọn Properties > nhấn nút Advanced để mở hộp thoại Advenced Attributies.

Đánh dấu chọn vào hộp kiểm Encrypt contents to secure data > nhấn OK để xác nhận chọn lựa và đóng hộp thoại Advenced Attributies > nhấn OK tại hộp thoại Properties để xác nhận.

Khi đó sẽ có một hộp thoại Confirm Attribute Changes hiện lên để yêu cầu bạn chọn lựa giữa việc mã hóa cho thư mục này thôi hay muốn mã hóa cho cả các tập tin và thư mục con trong nó. Chọn lựa chọn thứ 2 và nhấn OK. Thời gian mã hóa nhanh hay chậm phụ thuộc vào số lượng và dung lượng các tập tin và thư mục con chứa trong đó.

Để chia sẻ thư mục bị mã hóa này với các người dùng khác, bạn vào lại hộp thoại Advenced Attributies > nhấn vào nút Details để mở hộp thoại Encryption Details for > nhấn nút Add và chọn người dùng mà bạn muốn chia sẻ > nhấn OK ba lần để xác nhận.

Từ nay, chỉ có bạn và những người được chia sẻ mới xem được các tập tin bị mã hóa, còn không sẽ nhận được thông báo “Access is denied” khi cố gắng mở chúng.

Nhấn phải chuột lên tên tài khoản của bạn ở cửa sổ bên phải > All Task > Export để mở trình thuật sĩ Certificate Export.

Tại cửa sổ đầu tiên nhấn Next > tại cửa sổ Export Private Key chọn tùy chọn “Yes, export the private key” và nhấn Next.

Tại bước Export File Format, bạn giữ nguyên các thiết lập mặc định và nhấn Next > tại bước Password, bạn đặt một mật khẩu (gõ 2 lần) cho tập tin chứng thực để tránh trường hợp bị người khác sử dụng và nhấn Next > tại bước File to Export, bạn nhấn Browse để chọn nơi lưu cùng việc đặt tên cho tập tin chứng thực, nhấn Next > xem lại các thao tác từ bảng kết quả, nếu không có sai sót gì thì nhấn Finish để kết thúc. Bạn nên chép tập tin chứng thực này ra USB hoặc CD để lưu trữ lâu dài.

Sau này để phục hồi chứng thực tài khoản, bạn chỉ cần vào lại công cụ Certificates > mở đến mục Certificates > nhấn chuột phải lên nó và chọn Import. Lần lượt đi theo các bước của trình thuật sĩ để chọn nơi lưu tập tin chứng thực cũng như việc nhập mật khẩu để xác nhận.

NHẬT ANH (theo Windows XP Magazine)