Activați criptarea BitLocker, iar Windows va debloca automat unitatea dvs. de fiecare dată când porniți calculatorul utilizând modulul TPM încorporat în cele mai moderne computere. Dar puteți configura orice unitate flash USB ca o "cheie de pornire" care trebuie să fie prezentă la pornire înainte ca computerul să-și decripte unitatea și să pornească Windows.
Acest lucru adaugă în mod eficient autentificarea cu doi factori pentru criptarea BitLocker. Ori de câte ori porniți computerul, va trebui să furnizați cheia USB înainte de a fi decriptată. Acest lucru ar fi deosebit de util cu ajutorul unei mici unități USB pe care o purtați cu tine pe un breloc.
Acest lucru, evident, necesită criptare unitate BitLocker, ceea ce înseamnă că funcționează numai pe edițiile Professional și Enterprise ale Windows. Înainte de a putea urma oricare dintre pașii de mai jos, va trebui să activați criptarea BitLocker pe unitatea de sistem din Panoul de control.
Dacă ieșiți din calea dvs. pentru a activa BitLocker pe un PC fără un TPM, puteți alege să creați o cheie USB de pornire ca parte a procesului de configurare. Acesta va fi folosit în loc de TPM. Pașii de mai jos sunt necesari numai atunci când se activează BitLocker pe computerele cu dispozitive TPM, pe care le au cele mai moderne computere.
Dacă aveți o versiune Home a Windows, nu veți putea utiliza BitLocker. Este posibil să aveți funcția Criptare dispozitiv, dar aceasta funcționează diferit față de BitLocker și nu vă permite să furnizați o cheie de pornire.
Odată ce ați activat BitLocker, va trebui să activați cerința cheie cheie de pornire în politica de grup Windows. Pentru a deschide Editorul politicilor de grup, apăsați Windows + R de pe tastatură, tastați "gpedit.msc" în dialogul Executare și apăsați Enter.
Accesați Configurare computer> Șabloane de administrare> Componente Windows> Criptare unitate BitLocker> Unități de sistem de operare din fereastra Politică de grup.
Faceți dublu clic pe opțiunea "Aveți nevoie de autentificare suplimentară la pornire" din panoul din partea dreaptă.
Selectați "Activat" în partea de sus a ferestrei aici. Apoi, dați clic pe caseta din "Configurați cheia de pornire TPM" și selectați opțiunea "Solicitare pornire cheie cu TPM". Faceți clic pe "OK" pentru a salva modificările.
Acum puteți folosi gestiona-BDE comanda pentru a configura o unitate USB pentru unitatea criptată BitLocker.
Mai întâi, introduceți o unitate USB în computer. Notați litera de unitate a unității USB-D: în imaginea de mai jos. Windows va salva un mic fișier .bek pe unitate, și așa va deveni cheia de pornire.
Apoi, lansați o fereastră Prompt comandă ca Administrator. În Windows 10 sau 8, faceți clic dreapta pe butonul Start și selectați "Command Prompt (Admin)". În Windows 7, găsiți comanda rapidă "Command Prompt" din meniul Start, faceți clic dreapta pe el și selectați "Run as Administrator"
Rulați următoarea comandă. Comanda de mai jos funcționează pe unitatea dvs. C: dacă doriți să aveți nevoie de o tastă de pornire pentru o altă unitate, introduceți litera unității în loc de c: . Va trebui, de asemenea, să introduceți litera de unitate a unității USB conectate pe care doriți să o utilizați ca tastă de pornire în loc de X: .
manage-bde -protectori -add c: -TPMAndStartupKey x:
Cheia va fi salvată în unitatea USB ca fișier ascuns cu extensia de fișier .bek. Puteți vedea dacă afișați fișiere ascunse.
Vi se va cere să introduceți unitatea USB la următoarea pornire a computerului. Fii atent cu cheia - cineva care copiază cheia de pe unitatea USB poate folosi acea copie pentru a debloca unitatea criptată BitLocker.
Pentru a verifica dacă protecția TPMAndStartupKey a fost adăugată corect, puteți rula următoarea comandă:
gestionați-bde -status
(Protecția cheii "Parola numerică" afișată aici este cheia dvs. de recuperare.)
Dacă vă răzgândiți și doriți să opriți mai târziu cheia de pornire, puteți să anulați această modificare. Mai întâi, reveniți la editorul de politici de grup și modificați opțiunea înapoi la "Permiteți cheii de pornire cu TPM". Nu puteți lăsa setul de opțiuni la "Apelați cheia de pornire cu TPM" sau Windows nu vă va permite să eliminați cerința cheie de pornire de pe unitate.
Apoi, deschideți o fereastră Prompt comandă ca Administrator și executați următoarea comandă (din nou, înlocuind c: dacă utilizați o unitate diferită):
gestionați-bde -protectorii -add c: -TPM
Aceasta va înlocui cerința "TPMandStartupKey" cu o cerință "TPM", eliminând codul PIN. Unitatea dvs. BitLocker va debloca automat prin TPM-ul computerului dvs. atunci când boot-ați.
Pentru a verifica dacă aceasta a fost finalizată cu succes, executați din nou comanda de stare:
manage-bde -status c:
Încercați să reporniți computerul mai întâi. Dacă totul funcționează corect și calculatorul dvs. nu necesită încărcarea unității USB, aveți libertatea de a formata unitatea sau doar să ștergeți fișierul BEK. Puteți, de asemenea, lăsați-o pe unitatea dvs. - fișierul nu va mai face nimic.
Dacă pierdeți cheia de pornire sau ștergeți fișierul .bek din unitate, va trebui să furnizați codul de recuperare BitLocker pentru unitatea de sistem. Ar fi trebuit să salvați undeva în siguranță când ați activat BitLocker pentru unitatea de sistem.
Credit de imagine: Tony Austin / Flickr
