Ota BitLocker-salaus käyttöön, ja Windows avaa aseman lukituksen automaattisesti aina, kun käynnistät tietokoneen TPM on rakennettu moderneimpiin tietokoneisiin . Mutta voit asettaa minkä tahansa USB-muistitikun "käynnistysavaimeksi", jonka on oltava käynnistyksen yhteydessä, ennen kuin tietokone voi purkaa aseman salauksen ja käynnistää Windowsin.
Tämä lisää kahden tekijän todennuksen BitLocker-salaukseen tehokkaasti. Aina kun käynnistät tietokoneen, sinun on toimitettava USB-avain ennen sen salauksen purkamista. Tämä olisi erityisen hyödyllistä pienen USB-aseman kanssa, jota pidät mukana avaimenperällä.
LIITTYVÄT: BitLocker-salauksen määrittäminen Windowsissa
Vaihe yksi: Ota BitLocker käyttöön (jos et ole jo tehnyt niin)
Tämä edellyttää tietenkin BitLocker-aseman salausta, mikä tarkoittaa, että se toimii vain Windowsin Professional- ja Enterprise-versioissa. Sinun on tehtävä, ennen kuin voit suorittaa jonkin alla olevista vaiheista ota BitLocker-salaus käyttöön järjestelmäasemassasi ohjauspaneelista.
Jos menet ulos tielle ota BitLocker käyttöön tietokoneessa, jossa ei ole TPM: ää , voit luoda USB-käynnistysavaimen osana asennusprosessia. Tätä käytetään TPM: n sijaan. Seuraavat vaiheet ovat välttämättömiä vain, kun otat BitLockerin käyttöön tietokoneissa, joissa on TPM useimmilla nykyaikaisilla tietokoneilla on .
Jos sinulla on Windows-kotiversio, et voi käyttää BitLockeria. Sinulla voi olla Laitteen salaus ominaisuus, mutta tämä toimii eri tavalla kuin BitLocker eikä salli sinun antaa käynnistysavainta.
Vaihe kaksi: Ota käynnistysavain käyttöön ryhmäkäytäntöeditorissa
Kun olet ottanut BitLockerin käyttöön, sinun on otettava käyttöön käynnistysavaimen vaatimus Windowsin ryhmäkäytännössä. Voit avata ryhmäkäytäntöeditorin painamalla näppäimistön Windows + R-näppäintä, kirjoittamalla Suorita-valintaikkunaan gpedit.msc ja painamalla Enter-näppäintä.
Siirry ryhmäkäytäntöikkunassa kohtaan Tietokoneen kokoonpano> Hallintamallit> Windowsin komponentit> BitLocker-aseman salaus> Käyttöjärjestelmä-asemat.
Kaksoisnapsauta Oikea ruutu -valintaa ”Vaadi lisätodennus käynnistyksen yhteydessä”.
Valitse ikkunan yläreunasta ”Käytössä”. Napsauta sitten ruutua kohdassa "Määritä TPM-käynnistysavain" ja valitse "Vaadi käynnistysavain TPM: llä" -vaihtoehto. Tallenna muutokset napsauttamalla “OK”.
Vaihe kolme: Määritä käynnistysavain asemalle
Voit nyt käyttää
hallita-bde
komento määrittääksesi USB-aseman BitLocker-salatulle asemalle.
Aseta ensin USB-asema tietokoneeseen. Huomaa USB-aseman asemakirjain – D: alla olevassa kuvakaappauksessa. Windows tallentaa pienen .bek-tiedoston asemaan, ja siitä tulee siitä käynnistysavain.
Käynnistä seuraavaksi komentokehoteikkuna järjestelmänvalvojana. Windows 10 tai 8, napsauta hiiren kakkospainikkeella Käynnistä-painiketta ja valitse "Komentokehote (järjestelmänvalvoja)". Etsi Windows 7: ssä Käynnistä-valikosta komentokehote, napsauta sitä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana
Suorita seuraava komento. Seuraava komento toimii C: -asemallasi, joten jos haluat vaatia käynnistysavaimen toiselle asemalle, kirjoita sen asemakirjain sen sijaan, että
c:
. Sinun on myös annettava liitetyn USB-aseman asemakirjain, jota haluat käyttää käynnistysavaimena
x:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Avain tallennetaan USB-asemaan piilotettuna tiedostona .bek-tiedostotunnisteella. Voit nähdä sen, jos sinä näytä piilotetut tiedostot .
Sinua pyydetään asettamaan USB-asema seuraavan kerran, kun käynnistät tietokoneen. Ole varovainen avaimen suhteen - joku, joka kopioi avaimen USB-asemastasi, voi käyttää tätä kopiota BitLocker-salatun aseman lukituksen avaamiseen.
Voit tarkistaa, onko TPMAndStartupKey-suojaus lisätty oikein, suorittamalla seuraava komento:
manage-bde-tila
(Tässä näkyvä "Numeerisen salasanan" näppäinsuoja on palautusavaimesi.)
Käynnistysavaimen vaatimuksen poistaminen
Jos muutat mieltäsi ja haluat lopettaa käynnistysavaimen tarpeen myöhemmin, voit kumota tämän muutoksen. Palaa ensin takaisin ryhmäkäytäntöeditoriin ja muuta vaihtoehto takaisin Salli käynnistysavain TPM: llä. Et voi jättää asetukseksi Vaatia käynnistysavainta TPM: llä, tai Windows ei salli käynnistysavaimen vaatimuksen poistamista asemasta.
Seuraavaksi avaa komentokehoteikkuna järjestelmänvalvojana ja suorita seuraava komento (jälleen korvaamalla
c:
jos käytät eri asemaa):
manage-bde -suojaimet -add c: -TPM
Tämä korvaa TPMandStartupKey-vaatimuksen TPM-vaatimuksella ja poistaa PIN-koodin. BitLocker-aseman lukitus avautuu automaattisesti tietokoneen TPM: n kautta käynnistyksen yhteydessä.
Varmista, että tämä onnistui, suorittamalla tilakomento uudelleen:
manage-bde -tila c:
Yritä käynnistää tietokone ensin. Jos kaikki toimii oikein ja tietokoneesi ei vaadi USB-aseman käynnistämistä, voit alustaa aseman tai poistaa vain BEK-tiedoston. Voit myös vain jättää sen asemalle - tiedosto ei todellakaan tee enää mitään.
Jos kadotat käynnistysavaimen tai poistat .bek-tiedoston asemasta, sinun on annettava BitLocker-palautuskoodi järjestelmäasemallesi. Sinun olisi pitänyt tallentaa jonnekin turvalliseen paikkaan, kun otit BitLockerin käyttöön järjestelmäasemallesi.
Kuvahyvitys: Tony Austin / Flickr
