Aktivera BitLocker-kryptering och Windows låser automatiskt upp din enhet varje gång du startar din dator med TPM inbyggd i de flesta moderna datorer . Men du kan ställa in valfri USB-flashenhet som en "startnyckel" som måste finnas vid start innan din dator kan dekryptera sin enhet och starta Windows.
Detta lägger effektivt till tvåfaktorautentisering till BitLocker-kryptering. När du startar din dator måste du ange USB-nyckeln innan den dekrypteras. Detta skulle vara särskilt användbart med en liten USB-enhet som du bär med dig på en nyckelring.
RELATERAD: Så här ställer du in BitLocker-kryptering i Windows
Steg ett: Aktivera BitLocker (om du inte redan har det)
Detta kräver uppenbarligen BitLocker-enhetskryptering, vilket innebär att det bara fungerar på Professional- och Enterprise-utgåvor av Windows. Innan du kan följa något av stegen nedan måste du göra det aktivera BitLocker-kryptering på din systemdisk från kontrollpanelen.
Om du går ut ur din väg till aktivera BitLocker på en dator utan TPM , kan du välja att skapa en USB-startnyckel som en del av installationsprocessen. Detta kommer att användas istället för TPM. Nedanstående steg är endast nödvändiga när du aktiverar BitLocker på datorer med TPM, vilket de flesta moderna datorer har .
Om du har en hemversion av Windows kan du inte använda BitLocker. Du kanske har Enhetskryptering funktion istället, men det fungerar annorlunda än BitLocker och tillåter inte att du anger en startnyckel.
Steg två: Aktivera startnyckeln i redigeraren för grupprinciper
När du har aktiverat BitLocker måste du aktivera kravet på startnyckeln i Windows grupppolicy. För att öppna Group Policy Editor, tryck på Windows + R på tangentbordet, skriv “gpedit.msc” i dialogrutan Kör och tryck på Enter.
Gå till datorkonfiguration> Administrativa mallar> Windows-komponenter> BitLocker-enhetskryptering> Operativsystemsenheter i grupprincipfönstret.
Dubbelklicka på alternativet "Kräv ytterligare autentisering vid start" i den högra rutan.
Välj ”Enabled” högst upp i fönstret här. Klicka sedan på rutan under "Konfigurera TPM startnyckel" och välj alternativet "Kräv startnyckel med TPM". Klicka på “OK” för att spara dina ändringar.
Steg tre: Konfigurera en startnyckel för din enhet
Du kan nu använda
hantera-bde
kommando för att konfigurera en USB-enhet för din BitLocker-krypterade enhet.
Sätt först in en USB-enhet i din dator. Notera USB-enhetens enhetsbokstav – D: i skärmdumpen nedan. Windows sparar en liten .bek-fil på enheten och så blir den din startnyckel.
Starta sedan ett kommandotolkfönster som administratör. I Windows 10 eller 8 högerklickar du på Start-knappen och väljer "Kommandotolken (Admin)". I Windows 7, hitta genvägen "Kommandotolken" i Start-menyn, högerklicka på den och välj "Kör som administratör"
Kör följande kommando. Kommandot nedan fungerar på din C: -enhet, så om du vill kräva en startnyckel för en annan enhet, ange dess enhetsbokstav istället för
c:
. Du måste också ange enhetsbokstaven för den anslutna USB-enheten som du vill använda som startnyckel istället för
x:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Nyckeln sparas på USB-enheten som en dold fil med filtillägget .bek. Du kan se det om du visa gömda filer .
Du blir ombedd att sätta i USB-enheten nästa gång du startar din dator. Var försiktig med nyckeln - någon som kopierar nyckeln från din USB-enhet kan använda den kopian för att låsa upp din BitLocker-krypterade enhet.
För att dubbelkontrollera om TPMAndStartupKey-skyddet har lagts till ordentligt kan du köra följande kommando:
hantera-bde -status
(Nyckelskyddet "Numeriskt lösenord" som visas här är din återställningsnyckel.)
Hur man tar bort kravet på startnyckeln
Om du ändrar dig och vill sluta kräva startnyckeln senare kan du ångra den här ändringen. Gå först tillbaka till redigeraren för grupprincip och ändra alternativet tillbaka till “Tillåt startnyckel med TPM”. Du kan inte lämna alternativet inställt på "Kräv startnyckel med TPM" eller Windows tillåter inte att du tar bort kravet på startnyckeln från enheten.
Öppna sedan ett kommandotolkfönster som administratör och kör följande kommando (igen, ersätt
c:
om du använder en annan enhet):
manage-bde -protectors -add c: -TPM
Detta kommer att ersätta "TPMandStartupKey" -kravet med ett "TPM" -krav och radera PIN-koden. Din BitLocker-enhet låses upp automatiskt via datorns TPM när du startar.
För att kontrollera att detta har slutförts, kör statuskommandot igen:
hantera-bde -status c:
Försök starta om datorn först. Om allt fungerar ordentligt och din dator inte kräver att USB-enheten ska startas, kan du formatera enheten eller bara ta bort BEK-filen. Du kan också bara lämna den på din enhet - den filen kommer faktiskt inte att göra någonting längre.
Om du tappar startnyckeln eller tar bort .bek-filen från enheten måste du ange BitLocker-återställningskoden för din systemdisk. Du borde ha sparat säkert någonstans när du aktiverade BitLocker för din systemdisk.
Bildkredit: Tony Austin / Flickr
