Cum se utilizează o cheie USB pentru a debloca un PC BitLocker-criptat
Activați criptarea BitLocker și Windows va debloca automat unitatea dvs. de fiecare dată când porniți calculatorul utilizând modulul TPM integrat în cele mai moderne computere. Dar puteți configura orice unitate flash USB ca o "cheie de pornire" care trebuie să fie prezentă la pornire înainte ca computerul să-i decripte unitatea și să pornească Windows.
Acest lucru adaugă în mod eficient autentificarea cu doi factori în criptarea BitLocker. Ori de câte ori porniți computerul, va trebui să furnizați cheia USB înainte de a fi decriptată. Acest lucru ar fi deosebit de util cu o unitate USB mică pe care o purtați cu dvs. pe un breloc.
Pasul unu: Activează BitLocker (dacă nu ai deja)
Acest lucru, evident, presupune criptarea unității BitLocker, ceea ce înseamnă că funcționează numai pe edițiile Professional și Enterprise ale Windows. Înainte de a putea urma oricare dintre pașii de mai jos, va trebui să activați criptarea BitLocker pe unitatea de sistem din Panoul de control.
Dacă ieșiți din calea dvs. pentru a activa BitLocker pe un PC fără un TPM, puteți alege să creați o cheie USB de pornire ca parte a procesului de configurare. Acesta va fi folosit în loc de TPM. Pașii de mai jos sunt necesari numai atunci când se activează BitLocker pe computerele cu dispozitive TPM, pe care le au cele mai moderne computere.
Dacă aveți o versiune Home a Windows, nu veți putea utiliza BitLocker. Este posibil să aveți în loc funcția Encryption Device, dar aceasta funcționează diferit de BitLocker și nu vă permite să furnizați o cheie de pornire.
Pasul al doilea: Activați cheia de pornire în Editorul de politici de grup
După ce ați activat BitLocker, va trebui să activați cerința cheie de pornire în politica de grup Windows. Pentru a deschide Editorul politicilor de grup, apăsați Windows + R de pe tastatură, tastați "gpedit.msc" în dialogul Executare și apăsați Enter.
Accesați Configurare computer> Șabloane administrative> Componente Windows> Criptare unitate BitLocker> Driverele sistemului de operare în fereastra Politică de grup.
Faceți dublu clic pe opțiunea "Solicitarea autentificării suplimentare la pornire" din panoul din partea dreaptă.
Selectați "Activat" în partea de sus a ferestrei aici. Apoi, dați clic pe caseta din "Configurați cheia de pornire TPM" și selectați opțiunea "Solicitare pornire cheie cu TPM". Faceți clic pe "OK" pentru a salva modificările.
Pasul al treilea: Configurați o cheie de pornire pentru unitatea dvs.
Acum puteți folosi gestiona-BDE
comanda pentru a configura o unitate USB pentru unitatea criptată BitLocker.
Mai întâi, introduceți o unitate USB în computer. Notați litera de unitate a unității USB-D: în imaginea de mai jos. Windows va salva un mic fișier .bek pe unitate și așa va deveni cheia de pornire.
Apoi, lansați o fereastră Prompt comandă ca Administrator. În Windows 10 sau 8, faceți clic dreapta pe butonul Start și selectați "Command Prompt (Admin)". În Windows 7, găsiți comanda rapidă "Command Prompt" din meniul Start, faceți clic dreapta pe el și selectați "Run as Administrator"
Rulați următoarea comandă. Comanda de mai jos funcționează pe unitatea dvs. C: dacă doriți să aveți nevoie de o tastă de pornire pentru o altă unitate, introduceți litera unității în loc de c:
. Va trebui, de asemenea, să introduceți litera locomotivă a unității USB conectate pe care doriți să o utilizați ca tastă de pornire în loc de X:
.
gestionați-bde -protectorii -add c: -TPMAndStartupKey x:
Cheia va fi salvată în unitatea USB ca fișier ascuns cu extensia de fișier .bek. Puteți vedea dacă afișați fișiere ascunse.
Vi se va cere să introduceți unitatea USB la următoarea pornire a computerului. Fii atent cu cheia - cineva care copiază cheia de pe unitatea USB poate folosi acea copie pentru a debloca unitatea criptată BitLocker.
Pentru a verifica dacă protecția TPMAndStartupKey a fost adăugată corect, puteți rula următoarea comandă:
gestionați-bde -status
(Protecția cheii "Numeric Password" afișată aici este cheia de recuperare.)
Cum se elimină cerința de pornire a cheii de pornire
Dacă vă răzgândiți și doriți să nu mai cereți ulterior cheia de pornire, puteți anula această modificare. Mai întâi, reveniți la editorul de politici de grup și modificați opțiunea înapoi la "Permiteți cheii de pornire cu TPM". Nu puteți lăsa setul de opțiuni la "Apelați cheia de pornire cu TPM" sau Windows nu vă va permite să eliminați cerința cheie de pornire de pe unitate.
Apoi, deschideți o fereastră Prompt comandă ca Administrator și executați următoarea comandă (din nou, înlocuind c:
dacă utilizați o unitate diferită):
gestionați-bde -protectorii -add c: -TPM
Aceasta va înlocui cerința "TPMandStartupKey" cu o cerință "TPM", eliminând codul PIN. Unitatea dvs. BitLocker va fi deblocată automat prin TPM-ul computerului atunci când boot-ați.
Pentru a verifica dacă aceasta a fost finalizată cu succes, executați din nou comanda de stare:
manage-bde -status c:
Încercați să reporniți computerul mai întâi. Dacă totul funcționează corect și calculatorul dvs. nu necesită încărcarea unității USB, aveți libertatea de a formata unitatea sau doar să ștergeți fișierul BEK. De asemenea, puteți să lăsați-o pe unitatea dvs. - fișierul nu va mai face nimic.
Dacă pierdeți cheia de pornire sau ștergeți fișierul .bek din unitate, va trebui să furnizați codul de recuperare BitLocker pentru unitatea de sistem. Ar fi trebuit să salvați undeva în siguranță atunci când ați activat BitLocker pentru unitatea de sistem.
Credit de imagine: Tony Austin / Flickr