Активирайте шифроването на BitLocker и Windows автоматично ще отключи устройството ви всеки път, когато стартирате компютъра, като използвате TPM, вграден в повечето съвременни компютри. Но можете да настроите всяко USB флаш устройство като "стартов ключ", който трябва да присъства при зареждане, преди компютърът да може да декриптира устройството си и да стартира Windows.
Това ефективно добавя двуфакторна идентификация към криптиране на BitLocker. Всеки път, когато стартирате компютъра си, ще трябва да предоставите USB ключа, преди той да бъде дешифриран. Това би било особено полезно с малък USB диск, който носите със себе си на ключодържател.
Очевидно това изисква шифроване на устройство BitLocker, което означава, че работи само в изданията на Windows Professional и Enterprise. Преди да можете да изпълните някоя от стъпките по-долу, ще трябва да активирате шифроването на BitLocker на системното устройство от контролния панел.
Ако излезете от пътя си, за да активирате BitLocker на компютър без TPM, можете да изберете да създадете USB стартов ключ като част от процеса на настройка. Това ще бъде използвано вместо TPM. Следващите стъпки са необходими само при активиране на BitLocker на компютри с TPM, които имат най-модерните компютри.
Ако имате начална версия на Windows, няма да можете да използвате BitLocker. Вместо това може да имате функцията Шифроване на устройството, но това работи по различен начин от BitLocker и не ви позволява да предоставите стартов ключ.
След като активирате функцията BitLocker, ще трябва да активирате изискването за ключ за стартиране в груповите правила на Windows. За да отворите редактора за групови правила, натиснете Windows + R на клавиатурата си, напишете "gpedit.msc" в диалоговия прозорец "Изпълнение" и натиснете Enter.
Насочете към Компютърна конфигурация> Административни шаблони> Компоненти на Windows> Шифроване на устройство BitLocker> Драйверите на операционната система в прозореца за групови правила.
Щракнете двукратно върху опцията "Необходими допълнителни удостоверяване при стартиране" в десния панел.
Изберете "Активирано" в горната част на прозореца тук. След това кликнете върху квадратчето в "Конфигуриране на ключ за стартиране на TPM" и изберете опцията "Изисква се стартиране на ключ с TPM". Кликнете върху "OK", за да запазите промените си.
Сега можете да използвате управлявате-BDE
команда за конфигуриране на USB устройство за кодираното от BitLocker устройство.
Първо, поставете USB устройство в компютъра си. Обърнете внимание на буквата на диска на USB устройството-D: на екранната снимка по-долу. Windows ще запази малък файл .bek към устройството и по този начин ще стане вашият стартов ключ.
След това стартирайте прозореца на командния прозорец като администратор. В Windows 10 или 8 щракнете с десния бутон на мишката върху бутона "Старт" и изберете "Command Prompt (Admin)". В Windows 7 намерете командата "Command Prompt" в менюто "Старт", щракнете с десния бутон върху него и изберете "Пусни като администратор"
Изпълнете следната команда. Командата по-долу работи на вашето C: устройство, така че ако искате да изисквате стартов ключ за друго устройство, въведете буквата на устройството вместо ° С:
, Освен това ще трябва да въведете буквата на устройството на свързаното USB устройство, което искате да използвате като стартов ключ вместо х:
.
управление-bde -protectors -Add c: -TPMAndStartupKey x:
Ключът ще бъде запазен на USB устройството като скрит файл с разширение .bek. Можете да го видите, ако показвате скрити файлове.
Ще бъдете помолени да поставите USB устройството при следващото стартиране на компютъра. Бъдете внимателни с ключа - някой, който копира ключа от вашето USB устройство, може да използва това копие, за да отключи вашето BitLocker-кодирано устройство.
За да проверите дали TPMAndStartupKey протектора е добавен правилно, можете да изпълните следната команда:
управлявате-bde -status
(Показаният тук защитен ключ за цифровата парола е вашият ключ за възстановяване.)
Ако промените решението си и искате да преустановите по-късно изискването за стартовия ключ, можете да отмените тази промяна. Първо, върнете се към редактора за групови правила и променете опцията обратно на "Да се разреши стартовият ключ с TPM". Не можете да оставите опцията, зададена в "Изисквам стартов ключ с TPM" или Windows няма да ви позволи да премахнете изискването за ключ за стартиране от устройството.
След това отворете прозореца на командния ред като администратор и изпълнете следната команда (отново, замяна ° С:
ако използвате различно устройство):
управление-bde -protectors -Add c: -TPM
Това ще замени изискването "TPMandStartupKey" с изискване "TPM", като изтриете ПИН кода. Вашето устройство BitLocker ще се отключи автоматично чрез TPM на компютъра, когато заредите.
За да проверите дали това е завършено успешно, стартирайте отново командата за състоянието:
управление-bde -status c:
Опитайте да рестартирате компютъра си първо. Ако всичко работи правилно и компютърът ви не изисква зареждане на USB устройството, можете свободно да форматирате устройството или просто да изтриете файла BEK. Можете също така просто да го оставите на диска - този файл няма да всъщност прави нищо повече.
Ако загубите стартовия ключ или изтриете файла .bek от устройството, ще трябва да предоставите кода за възстановяване на BitLocker за системното устройство. Трябваше да сте запазили някъде безопасно, когато сте активирали BitLocker за системното си устройство.
Image Credit: Тони Остин / Flickr