Как да използвате USB ключ за отключване на шифрован от BitLocker компютър
Активирайте шифроването на BitLocker и Windows автоматично ще отключи устройството ви всеки път, когато стартирате компютъра си с помощта на модула TPM, вграден в повечето съвременни компютри. Но можете да настроите всеки USB флаш устройство като "ключ за стартиране", който трябва да присъства при зареждане, преди компютърът да може да декриптира устройството и да стартира Windows.
Това ефективно добавя двуфакторна идентификация към шифроването на BitLocker. Всеки път, когато стартирате компютъра си, ще трябва да предоставите USB ключа, преди да бъде декриптиран. Това би било особено полезно с малко USB устройство, което носите със себе си на ключодържател.
Първа стъпка: активирайте BitLocker (ако вече не сте)
Това очевидно изисква шифроване на дискове на BitLocker, което означава, че работи само в изданията на Windows за професионалисти и предприятия. Преди да можете да изпълните някое от стъпките по-долу, трябва да активирате шифроването на BitLocker на системното си устройство от контролния панел.
Ако се откажете да активирате BitLocker на компютър без TPM, можете да изберете да създадете ключ за стартиране на USB като част от процеса на инсталиране. Това ще се използва вместо TPM. Посочените по-долу стъпки са необходими само когато активирате BitLocker на компютри с TPM, каквито имат повечето модерни компютри.
Ако имате начална версия на Windows, няма да можете да използвате BitLocker. Вместо това може да имате функцията за шифроване на устройства, но това работи по различен начин от BitLocker и не ви позволява да предоставите ключ за стартиране.
Стъпка втора: Активирайте стартовия ключ в редактора на групови правила
След като активирате BitLocker, трябва да активирате изискването за стартиране в груповите правила на Windows. За да отворите редактора на групови правила, натиснете Windows + R на клавиатурата, въведете “gpedit.msc” в диалоговия прозорец Изпълнение и натиснете Enter.
Насочете се към конфигурацията на компютъра> Административни шаблони> Компоненти на Windows> Шифроване на устройства с BitLocker> Дискови операционни системи в прозореца на груповата политика.
Кликнете два пъти върху опцията „Изискване за допълнителна проверка при стартиране“ в десния панел.
Изберете “Enabled” в горната част на прозореца. След това кликнете върху квадратчето под „Конфигуриране на стартовия ключ за TPM“ и изберете опцията „Необходим ключ за стартиране с TPM“. Кликнете върху „OK“, за да запазите промените си.
Трета стъпка: Конфигурирайте стартов ключ за устройството
Вече можете да използвате управлявате-BDE
команда за конфигуриране на USB устройство за криптираното от BitLocker устройство.
Първо поставете USB устройство в компютъра. Обърнете внимание на буквата на USB устройството-D: на екрана по-долу. Windows ще запише малък .bek файл на устройството и така ще стане вашият стартиращ ключ.
След това стартирайте прозореца на командния ред като администратор. В Windows 10 или 8 щракнете с десния бутон върху бутона "Старт" и изберете "Команден ред (Admin)". В Windows 7 намерете прекия път на командния ред в менюто "Старт", щракнете с десния бутон върху него и изберете "Изпълни като администратор"
Изпълнете следната команда. Командата по-долу работи на вашето устройство C: така че ако искате да изисквате стартов ключ за друго устройство, въведете буквата на устройството вместо ° С:
. Освен това трябва да въведете буквата на свързаното USB устройство, което искате да използвате като стартов ключ, вместо х:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Ключът ще бъде запазен на USB устройството като скрит файл с разширение .bek. Можете да го видите, ако показвате скрити файлове.
Ще бъдете помолени да поставите USB устройството при следващото зареждане на компютъра. Бъдете внимателни с ключа - някой, който копира ключа от USB устройството ви, може да използва това копие, за да отключи устройството, шифровано в BitLocker.
За да проверите двойно дали протекторът TPMAndStartupKey е добавен правилно, можете да изпълните следната команда:
управление-bde -статус
(Тук е показан защитникът на „Цифровата парола“, който е ключът за възстановяване.)
Как да премахнете изискването за стартов ключ
Ако промените решението си и искате да спрете да изисквате ключ за стартиране по-късно, можете да отмените тази промяна. Първо се върнете в редактора на групови правила и променете опцията обратно на „Разрешаване на стартовия ключ с TPM“. Не можете да оставите опцията, зададена на „Изисква се стартов ключ с TPM“ или Windows няма да ви позволи да премахнете изискването за стартиращ ключ от устройството.
След това отворете прозореца на командния ред като администратор и изпълнете следната команда (отново, заменяйки ° С:
ако използвате друго устройство):
manage-bde -protectors -add c: -TPM
Това ще замени изискването „TPMandStartupKey“ с изискване „TPM“, като изтриете PIN. Вашето устройство BitLocker автоматично ще отключи чрез TPM на компютъра, когато стартирате.
За да проверите дали това е завършено успешно, изпълнете отново командата за състояние:
управление-bde -статус c:
Първо опитайте да рестартирате компютъра си. Ако всичко работи правилно и компютърът ви не изисква USB устройството за зареждане, можете да форматирате устройството или просто да изтриете файла BEK. Можете също така просто да го оставите на вашия диск - този файл няма да направи нищо повече.
Ако изгубите ключа за стартиране или изтриете файла .bek от устройството, ще трябва да предоставите кода за възстановяване на BitLocker за системното си устройство. Трябва да сте запазили някъде безопасно, когато сте активирали BitLocker за системното си устройство.
Кредит за изображението: Тони Остин / Flickr