Увімкніть шифрування BitLocker, і Windows автоматично розблоковуватиме ваш диск при кожному запуску комп’ютера TPM, вбудований у більшість сучасних комп’ютерів . Але ви можете налаштувати будь-який флеш-накопичувач USB як “ключ запуску”, який повинен бути при завантаженні, перш ніж ваш комп’ютер зможе розшифрувати свій диск і запустити Windows.
Це ефективно додає двофакторну автентифікацію до шифрування BitLocker. Щоразу, коли ви запускаєте комп’ютер, вам потрібно буде надати USB-ключ, перш ніж він буде розшифрований. Це було б особливо корисно з невеликим USB-накопичувачем, який ви носите з собою на брелоку.
ПОВ'ЯЗАНІ: Як налаштувати шифрування BitLocker у Windows
Крок перший: Увімкніть BitLocker (якщо ви цього ще не зробили)
Очевидно, що для цього потрібно шифрування диска BitLocker, а це означає, що воно працює лише у професійних та корпоративних виданнях Windows. Перш ніж ви зможете виконати будь-який із наведених нижче кроків, вам потрібно буде це зробити увімкніть шифрування BitLocker на системному диску з панелі керування.
Якщо ви з усіх сил намагаєтесь увімкнути BitLocker на ПК без TPM , Ви можете створити ключ запуску USB як частину процесу налаштування. Це буде використовуватися замість TPM. Наведені нижче кроки необхідні лише під час увімкнення BitLocker на комп'ютерах з TPM, які більшість сучасних комп'ютерів .
Якщо у вас домашня версія Windows, ви не зможете використовувати BitLocker. Ви можете мати Шифрування пристрою Натомість ця функція працює не так, як BitLocker, і не дозволяє надати ключ запуску.
Крок другий: Увімкніть ключ запуску в редакторі групової політики
Після того, як ви ввімкнули BitLocker, вам потрібно буде ввімкнути вимогу до ключа запуску в груповій політиці Windows. Щоб відкрити редактор групової політики, натисніть клавішу Windows + R на клавіатурі, введіть “gpedit.msc” у діалоговому вікні “Запуск” і натисніть клавішу Enter.
Перейдіть до Конфігурація комп'ютера> Адміністративні шаблони> Компоненти Windows> Шифрування диска BitLocker> Диски операційної системи у вікні групової політики.
Двічі клацніть опцію «Вимагати додаткової автентифікації під час запуску» на правій панелі.
Виберіть тут «Увімкнено» у верхній частині вікна. Потім встановіть прапорець у розділі «Налаштування ключа запуску TPM» і виберіть опцію «Вимагати ключ запуску за допомогою TPM». Натисніть «OK», щоб зберегти зміни.
Крок третій: Налаштуйте ключ запуску для вашого диска
Тепер ви можете використовувати
управляти-bde
команда для налаштування USB-накопичувача для вашого зашифрованого диска BitLocker.
Спочатку вставте USB-накопичувач у свій комп’ютер. Зверніть увагу на букву диска USB-накопичувача – D: на скріншоті нижче. Windows збереже на диску невеликий файл .bek, і саме таким чином він стане вашим ключем запуску.
Потім запустіть вікно командного рядка від імені адміністратора. У Windows 10 або 8 клацніть правою кнопкою миші кнопку Пуск і виберіть «Командний рядок (адміністратор)». У Windows 7 знайдіть ярлик «Командний рядок» у меню «Пуск», клацніть його правою кнопкою миші та виберіть «Запуск від імені адміністратора»
Виконайте наступну команду. Наведена нижче команда працює на вашому диску C: тому, якщо вам потрібен ключ запуску для іншого диска, введіть його літеру замість
c:
. Вам також потрібно буде ввести букву накопичувача підключеного USB-накопичувача, який замість цього потрібно використовувати як ключ запуску
x:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Ключ буде збережено на USB-накопичувачі як прихований файл із розширенням .bek. Ви можете побачити це, якщо знаєте показати приховані файли - - .
Вам буде запропоновано вставити USB-накопичувач під час наступного завантаження комп’ютера. Будьте обережні з ключем - хтось, хто копіює ключ з вашого USB-накопичувача, може скористатися цією копією для розблокування вашого зашифрованого диска BitLocker.
Щоб ще раз перевірити, чи правильно додано протектор TPMAndStartupKey, можна виконати таку команду:
manage-bde -status
(Відображений тут захисний ключ із цифровим паролем - це ваш ключ відновлення.)
Як видалити вимогу до ключа запуску
Якщо ви передумали і хочете припинити вимагати ключа запуску пізніше, ви можете скасувати цю зміну. Спочатку поверніться до редактора групової політики та змініть опцію назад на «Дозволити ключ запуску за допомогою TPM». Ви не можете залишити параметр "Потрібен ключ запуску за допомогою TPM", інакше Windows не дозволить вам видалити вимогу ключа запуску з диска.
Далі відкрийте вікно командного рядка від імені адміністратора та запустіть таку команду (знову замінюючи
c:
якщо ви використовуєте інший диск):
manage-bde -protectors -add c: -TPM
Це замінить вимогу “TPMandStartupKey” на вимогу “TPM”, видаливши PIN-код. Пристрій BitLocker автоматично розблокується через TPM комп’ютера під час завантаження.
Щоб перевірити, чи успішно це виконано, запустіть команду status ще раз:
manage-bde -status c:
Спробуйте спочатку перезавантажити комп’ютер. Якщо все працює належним чином і ваш комп’ютер не вимагає завантаження USB-накопичувача, ви можете відформатувати диск або просто видалити файл BEK. Ви також можете просто залишити його на своєму диску - цей файл насправді більше нічого не робитиме.
Якщо ви загубите ключ запуску або видалите файл .bek з диска, вам потрібно буде надати код відновлення BitLocker для вашого системного диска. Вам слід було зберегти десь у безпеці, коли ви ввімкнули BitLocker для вашого системного диска.
Кредит зображення: Тоні Остін / Flickr
