Bật mã hóa BitLocker và Windows sẽ tự động mở khóa ổ đĩa của bạn mỗi khi bạn khởi động máy tính bằng TPM được tích hợp trong hầu hết các máy tính hiện đại . Nhưng bạn có thể thiết lập bất kỳ ổ đĩa flash USB nào làm “khóa khởi động” phải có khi khởi động trước khi máy tính của bạn có thể giải mã ổ đĩa và khởi động Windows.
Điều này bổ sung một cách hiệu quả xác thực hai yếu tố vào mã hóa BitLocker. Bất cứ khi nào khởi động máy tính, bạn cần cung cấp khóa USB trước khi nó được giải mã. Điều này sẽ đặc biệt hữu ích với một ổ USB nhỏ mà bạn mang theo trên một chiếc móc khóa.
LIÊN QUAN: Cách thiết lập mã hóa BitLocker trên Windows
Bước một: Bật BitLocker (Nếu bạn chưa sử dụng)
Điều này, rõ ràng, yêu cầu mã hóa ổ BitLocker, có nghĩa là nó chỉ hoạt động trên các phiên bản Professional và Enterprise của Windows. Trước khi có thể làm theo bất kỳ bước nào bên dưới, bạn cần phải bật mã hóa BitLocker trên ổ đĩa hệ thống của bạn từ Bảng điều khiển.
Nếu bạn đi ra khỏi con đường của bạn bật BitLocker trên PC mà không cần TPM , bạn có thể chọn tạo khóa khởi động USB như một phần của quá trình thiết lập. Điều này sẽ được sử dụng thay vì TPM. Các bước dưới đây chỉ cần thiết khi bật BitLocker trên máy tính có TPM, hầu hết các máy tính hiện đại có .
Nếu bạn có phiên bản Home của Windows, bạn sẽ không thể sử dụng BitLocker. Bạn có thể có Mã hóa thiết bị thay vào đó, tính năng này hoạt động khác với BitLocker và không cho phép bạn cung cấp khóa khởi động.
Bước hai: Bật Khóa khởi động trong Trình chỉnh sửa chính sách nhóm
Sau khi đã bật BitLocker, bạn cần bật yêu cầu khóa khởi động trong chính sách nhóm của Windows. Để mở Trình chỉnh sửa chính sách nhóm, nhấn Windows + R trên bàn phím, nhập “gpedit.msc” vào hộp thoại Chạy và nhấn Enter.
Đi tới Cấu hình máy tính> Mẫu quản trị> Thành phần Windows> Mã hóa ổ BitLocker> Ổ hệ điều hành trong cửa sổ Chính sách nhóm.
Nhấp đúp vào tùy chọn “Yêu cầu xác thực bổ sung khi khởi động” trong ngăn bên phải.
Chọn “Đã bật” ở đầu cửa sổ tại đây. Sau đó, nhấp vào hộp bên dưới “Định cấu hình khóa khởi động TPM” và chọn tùy chọn “Yêu cầu khóa khởi động với TPM”. Nhấp vào “OK” để lưu các thay đổi của bạn.
Bước 3: Định cấu hình khóa khởi động cho ổ của bạn
Bây giờ bạn có thể sử dụng
quản lý
lệnh để định cấu hình ổ USB cho ổ được mã hóa BitLocker của bạn.
Đầu tiên, cắm ổ USB vào máy tính của bạn. Lưu ý ký tự ổ đĩa của ổ USB – D: trong ảnh chụp màn hình bên dưới. Windows sẽ lưu một tệp .bek nhỏ vào ổ đĩa và đó là cách nó sẽ trở thành khóa khởi động của bạn.
Tiếp theo, khởi chạy cửa sổ Command Prompt với tư cách Quản trị viên. Trên Windows 10 hoặc 8, nhấp chuột phải vào nút Bắt đầu và chọn “Dấu nhắc lệnh (Quản trị)”. Trên Windows 7, tìm lối tắt “Command Prompt” trong menu Start, nhấp chuột phải vào nó và chọn “Run as Administrator”
Chạy lệnh sau. Lệnh dưới đây hoạt động trên ổ C: của bạn, vì vậy nếu bạn muốn yêu cầu khóa khởi động cho ổ khác, hãy nhập ký tự ổ của nó thay vì
c:
. Bạn cũng cần nhập ký tự ổ đĩa của ổ USB được kết nối mà bạn muốn sử dụng làm khóa khởi động thay vì
x:
.
management-bde -protectors -add c: -TPMAndStartupKey x:
Khóa sẽ được lưu vào ổ USB dưới dạng tệp ẩn với phần mở rộng là tệp .bek. Bạn có thể thấy nó nếu bạn hiển thị cac file bị ẩn .
Bạn sẽ được yêu cầu cắm ổ USB vào lần khởi động máy tính tiếp theo. Hãy cẩn thận với khóa – ai đó sao chép khóa từ ổ USB của bạn có thể sử dụng bản sao đó để mở khóa ổ đĩa được mã hóa BitLocker của bạn.
Để kiểm tra kỹ xem trình bảo vệ TPMAndStartupKey đã được thêm đúng cách hay chưa, bạn có thể chạy lệnh sau:
quản lý-bde -status
(Bộ bảo vệ khóa “Mật khẩu số” được hiển thị ở đây là khóa khôi phục của bạn.)
Cách xóa yêu cầu khóa khởi động
Nếu bạn đổi ý và muốn ngừng yêu cầu khóa khởi động sau đó, bạn có thể hoàn tác thay đổi này. Đầu tiên, quay lại trình chỉnh sửa Chính sách Nhóm và thay đổi tùy chọn trở lại thành “Cho phép Khóa Khởi động Với TPM”. Bạn không thể đặt tùy chọn thành “Yêu cầu khóa khởi động với TPM” nếu không Windows sẽ không cho phép bạn xóa yêu cầu khóa khởi động khỏi ổ đĩa.
Tiếp theo, mở cửa sổ Command Prompt với tư cách Quản trị viên và chạy lệnh sau (một lần nữa, thay thế
c:
nếu bạn đang sử dụng một ổ đĩa khác):
management-bde -protectors -add c: -TPM
Điều này sẽ thay thế yêu cầu “TPMandStartupKey” bằng yêu cầu “TPM”, xóa mã PIN. Ổ BitLocker của bạn sẽ tự động mở khóa qua TPM của máy tính khi bạn khởi động.
Để kiểm tra xem việc này đã hoàn tất thành công chưa, hãy chạy lại lệnh trạng thái:
management-bde -status c:
Trước tiên, hãy thử khởi động lại máy tính của bạn. Nếu mọi thứ hoạt động bình thường và máy tính của bạn không yêu cầu ổ USB để khởi động, bạn có thể tự do định dạng ổ đĩa hoặc chỉ cần xóa tệp BEK. Bạn cũng có thể để nó trên ổ đĩa của mình – tệp đó sẽ không thực sự có tác dụng gì nữa.
Nếu mất khóa khởi động hoặc xóa tệp .bek khỏi ổ đĩa, bạn sẽ cần cung cấp mã khôi phục BitLocker cho ổ đĩa hệ thống của mình. Bạn nên lưu ở đâu đó an toàn khi bật BitLocker cho ổ đĩa hệ thống của mình.
Tín dụng hình ảnh: Tony Austin / Flickr
