Aktivér BitLocker-kryptering, og Windows låser automatisk dit drev op, hver gang du starter din computer ved hjælp af TPM indbygget i de fleste moderne computere . Men du kan indstille ethvert USB-flashdrev som en "startnøgle", der skal være til stede ved opstart, før din computer kan dekryptere sit drev og starte Windows.
Dette tilføjer effektivt to-faktor-godkendelse til BitLocker-kryptering. Hver gang du starter din computer, skal du give USB-nøglen, før den dekrypteres. Dette ville være særligt nyttigt med et lille USB-drev, du har med dig på en nøglering.
RELATEREDE: Sådan opsættes BitLocker-kryptering på Windows
Trin et: Aktivér BitLocker (hvis du ikke allerede har gjort det)
Dette kræver naturligvis BitLocker-drevkryptering, hvilket betyder, at det kun fungerer på Professional- og Enterprise-udgaver af Windows. Inden du kan følge et af nedenstående trin, skal du aktiver BitLocker-kryptering på dit systemdrev fra kontrolpanelet.
Hvis du går ud af din måde at aktivere BitLocker på en pc uden TPM , kan du vælge at oprette en USB-startnøgle som en del af installationsprocessen. Dette vil blive brugt i stedet for TPM. Nedenstående trin er kun nødvendige, når BitLocker aktiveres på computere med TPM'er, som de fleste moderne computere har .
Hvis du har en hjemmeversion af Windows, kan du ikke bruge BitLocker. Du har muligvis den Enhedskryptering funktion i stedet, men dette fungerer forskelligt fra BitLocker og giver dig ikke mulighed for at give en startnøgle.
Trin to: Aktivér opstartsnøglen i gruppepolitisk editor
Når du har aktiveret BitLocker, skal du aktivere kravet til opstartsnøgle i Windows 'gruppepolitik. For at åbne Group Policy Editor skal du trykke på Windows + R på tastaturet, skrive "gpedit.msc" i dialogboksen Kør og trykke på Enter.
Gå til computerkonfiguration> Administrative skabeloner> Windows-komponenter> BitLocker-drevkryptering> Operativsystemdrev i vinduet Gruppepolitik.
Dobbeltklik på "Kræv yderligere godkendelse ved opstart" i højre rude.
Vælg "Enabled" øverst i vinduet her. Klik derefter på afkrydsningsfeltet under “Konfigurer TPM-starttast”, og vælg “Kræv starttast med TPM”. Klik på “OK” for at gemme dine ændringer.
Trin tre: Konfigurer en startnøgle til dit drev
Du kan nu bruge
administrere-bde
kommando til at konfigurere et USB-drev til dit BitLocker-krypterede drev.
Indsæt først et USB-drev i din computer. Bemærk USB-drevets drevbogstav – D: i skærmbilledet nedenfor. Windows gemmer en lille .bek-fil på drevet, og det bliver sådan din startnøgle.
Start derefter et kommandopromptvindue som administrator. I Windows 10 eller 8 skal du højreklikke på Start-knappen og vælge "Kommandoprompt (administrator)". I Windows 7 skal du finde genvejen "Kommandoprompt" i Start-menuen, højreklikke på den og vælge "Kør som administrator"
Kør følgende kommando. Nedenstående kommando fungerer på dit C: -drev, så hvis du vil kræve en startnøgle til et andet drev, skal du indtaste dets drevbogstav i stedet for
c:
. Du bliver også nødt til at indtaste drevbogstavet for det tilsluttede USB-drev, du vil bruge som startnøgle i stedet for
x:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Nøglen gemmes på USB-drevet som en skjult fil med filtypen .bek. Du kan se det, hvis du Vis skjulte filer .
Du bliver bedt om at indsætte USB-drevet, næste gang du starter din computer. Vær forsigtig med nøglen - nogen, der kopierer nøglen fra dit USB-drev, kan bruge den kopi til at låse dit BitLocker-krypterede drev op.
For at dobbelttjekke, om TPMAndStartupKey-beskytteren blev tilføjet korrekt, kan du køre følgende kommando:
administrere-bde -status
(Nøglebeskyttelsen "Numerisk adgangskode", der vises her, er din gendannelsesnøgle.)
Sådan fjernes kravet om opstartsnøgle
Hvis du skifter mening og vil stoppe med at kræve opstartnøglen senere, kan du fortryde denne ændring. Først skal du gå tilbage til redigeringsprogrammet for gruppepolitik og ændre indstillingen tilbage til "Tillad opstartsnøgle med TPM". Du kan ikke lade indstillingen være "Kræv starttast med TPM", ellers tillader Windows dig ikke at fjerne startnøglekravet fra drevet.
Åbn derefter et kommandopromptvindue som administrator, og kør følgende kommando (igen, erstatter
c:
hvis du bruger et andet drev):
manage-bde -protectors -add c: -TPM
Dette erstatter “TPMandStartupKey” -kravet med et “TPM” -krav, hvor PIN-koden slettes. Dit BitLocker-drev låses automatisk op via din computers TPM, når du starter.
For at kontrollere, at dette er gennemført, skal du køre statuskommandoen igen:
administrere-bde -status c:
Prøv at genstarte din computer først. Hvis alt fungerer korrekt, og din computer ikke kræver, at USB-drevet skal starte, er du fri til at formatere drevet eller bare slette BEK-filen. Du kan også bare lade det være på dit drev - den fil gør faktisk ikke noget mere.
Hvis du mister startnøglen eller sletter .bek-filen fra drevet, skal du angive BitLocker-gendannelseskoden til dit systemdrev. Du skulle have gemt et sikkert sted, da du aktiverede BitLocker til dit systemdrev.
Billedkredit: Tony Austin / Flickr
