Activați criptarea BitLocker, iar Windows vă va debloca automat unitatea de fiecare dată când porniți computerul TPM încorporat în majoritatea computerelor moderne . Dar puteți configura orice unitate flash USB ca o „cheie de pornire” care trebuie să fie prezentă la pornire înainte ca computerul să poată decripta unitatea sa și să pornească Windows.
Aceasta adaugă efectiv autentificarea în doi factori la criptarea BitLocker. Ori de câte ori porniți computerul, va trebui să furnizați cheia USB înainte ca aceasta să fie decriptată. Acest lucru ar fi deosebit de util cu o unitate USB mică pe care o purtați cu dvs. pe un breloc.
LEGATE DE: Cum se configurează criptarea BitLocker pe Windows
Primul pas: activați BitLocker (dacă nu ați făcut deja)
Acest lucru, evident, necesită criptarea unității BitLocker, ceea ce înseamnă că funcționează numai pe edițiile Professional și Enterprise ale Windows. Înainte de a putea urma oricare dintre pașii de mai jos, va trebui activați criptarea BitLocker pe unitatea de sistem din panoul de control.
Dacă ieși din calea ta către activați BitLocker pe un PC fără TPM , puteți alege să creați o cheie de pornire USB ca parte a procesului de configurare. Aceasta va fi utilizată în locul TPM. Pașii de mai jos sunt necesari numai la activarea BitLocker pe computerele cu TPM, care majoritatea computerelor moderne au .
Dacă aveți o versiune Home a Windows, nu veți putea utiliza BitLocker. Este posibil să aveți Criptare dispozitiv în schimb, dar funcționează diferit de BitLocker și nu vă permite să furnizați o cheie de pornire.
Pasul doi: activați cheia de pornire în Editorul de politici de grup
După ce ați activat BitLocker, va trebui să activați cerința cheii de pornire în politica de grup Windows. Pentru a deschide Editorul de politici de grup, apăsați Windows + R pe tastatură, tastați „gpedit.msc” în dialogul Executare și apăsați Enter.
Accesați Configurare computer> Șabloane administrative> Componente Windows> Criptare unitate BitLocker> Unități de sistem de operare în fereastra Politică de grup.
Faceți dublu clic pe opțiunea „Necesită autentificare suplimentară la pornire” din panoul din dreapta.
Selectați „Activat” în partea de sus a ferestrei aici. Apoi, faceți clic pe caseta de sub „Configurare cheie de pornire TPM” și selectați opțiunea „Necesită cheie de pornire cu TPM”. Faceți clic pe „OK” pentru a salva modificările.
Pasul trei: configurați o cheie de pornire pentru unitatea dvs.
Acum puteți utiliza fișierul
gestiona-bde
comanda pentru a configura o unitate USB pentru unitatea criptată BitLocker.
Mai întâi, introduceți o unitate USB în computer. Rețineți litera unității USB-D: în captura de ecran de mai jos. Windows va salva un mic fișier .bek pe unitate și așa va deveni cheia dvs. de pornire.
Apoi, lansați o fereastră de comandă ca administrator. În Windows 10 sau 8, faceți clic dreapta pe butonul Start și selectați „Command Prompt (Admin)”. În Windows 7, găsiți comanda rapidă „Prompt comandă” în meniul Start, faceți clic dreapta pe ea și selectați „Rulați ca administrator”
Rulați următoarea comandă. Comanda de mai jos funcționează pe unitatea dvs. C:, deci dacă doriți să solicitați o cheie de pornire pentru o altă unitate, introduceți litera unității în loc de
c:
. De asemenea, va trebui să introduceți litera unității USB conectate pe care doriți să o utilizați ca cheie de pornire în loc de
X:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Cheia va fi salvată pe unitatea USB ca fișier ascuns cu extensia de fișier .bek. O poți vedea dacă tu arată fișierele ascunse .
Vi se va cere să introduceți unitatea USB data viitoare când porniți computerul. Aveți grijă cu cheia - cineva care copiază cheia de pe unitatea USB poate folosi copia pentru a debloca unitatea criptată BitLocker.
Pentru a verifica dacă protecția TPMAndStartupKey a fost adăugată corect, puteți rula următoarea comandă:
manage-bde -status
(Protecția cheii „Parolă numerică” afișată aici este cheia dvs. de recuperare.)
Cum se elimină cerința cheii de pornire
Dacă vă răzgândiți și doriți să nu mai solicitați cheia de pornire mai târziu, puteți anula această modificare. Mai întâi, reveniți la editorul de politici de grup și schimbați opțiunea înapoi la „Permiteți cheia de pornire cu TPM”. Nu puteți lăsa opțiunea setată la „Necesită cheie de pornire cu TPM” sau Windows nu vă va permite să eliminați cerința cheii de pornire de pe unitate.
Apoi, deschideți o fereastră de comandă ca administrator și executați următoarea comandă (din nou, înlocuind
c:
dacă utilizați o unitate diferită):
manage-bde -protectors -add c: -TPM
Aceasta va înlocui cerința „TPMandStartupKey” cu o cerință „TPM”, ștergând codul PIN. Unitatea BitLocker se va debloca automat prin TPM-ul computerului dvs. când porniți.
Pentru a verifica dacă aceasta s-a finalizat cu succes, rulați din nou comanda de stare:
manage-bde -status c:
Încercați mai întâi să reporniți computerul. Dacă totul funcționează corect și computerul nu necesită pornirea unității USB, sunteți liber să formatați unitatea sau pur și simplu să ștergeți fișierul BEK. De asemenea, îl puteți lăsa pe unitatea dvs. - acel fișier nu va mai face nimic.
Dacă pierdeți cheia de pornire sau ștergeți fișierul .bek de pe unitate, va trebui să furnizați codul de recuperare BitLocker pentru unitatea de sistem. Ar fi trebuit să salvați undeva în siguranță când ați activat BitLocker pentru unitatea de sistem.
Credit de imagine: Tony Austin / Flickr
