data: 20.08.2024
Artykuł źródłowy:
How to Use a USB Key to Unlock a BitLocker-Encrypted PC (howtogeek.com)
Włącz szyfrowanie funkcją BitLocker, a system Windows będzie automatycznie odblokowywał dysk za każdym razem, gdy uruchomisz komputer przy użyciu modułu TPM wbudowanego w większość nowoczesnych komputerów. Możesz jednak skonfigurować dowolny dysk flash USB jako "klucz uruchomienia", który musi być obecny podczas rozruchu, zanim komputer będzie mógł odszyfrować swój dysk i uruchomić system Windows.
Spowoduje to skuteczne dodanie uwierzytelniania dwuskładnikowego do szyfrowania funkcją BitLocker. Za każdym razem, gdy uruchamiasz komputer, musisz podać klucz USB, zanim zostanie on odszyfrowany.
Krok pierwszy: Włącz funkcję BitLocker (jeśli jeszcze tego nie zrobiłeś)
Szyfrowanie dysków funkcją BitLocker działa tylko w wersjach Professional i Enterprise systemu Windows. Aby można było wykonać którykolwiek z poniższych kroków, należy włączyć szyfrowanie funkcją BitLocker na dysku systemowym w Panelu sterowania.
Aby włączyć funkcję BitLocker na komputerze bez modułu TPM, możesz utworzyć klucz startowy USB w ramach procesu instalacji. Będzie on używany zamiast modułu TPM. Poniższe kroki są konieczne tylko w przypadku włączania funkcji BitLocker na komputerach z modułami TPM.
Jeśli masz domową wersję systemu Windows, nie będziesz mógł korzystać z funkcji BitLocker. Zamiast tego możesz mieć funkcję szyfrowania urządzenia, ale działa ona inaczej niż funkcja BitLocker i nie pozwala na podanie klucza uruchomienia.
Krok drugi: Włącz klucz startowy w Edytorze zasad grupy
Po włączeniu funkcji BitLocker musisz włączyć wymaganie klucza uruchomienia w zasadach grupy systemu Windows. Naciśnij Windows + R na klawiaturze, wpisz "gpedit.msc" w oknie dialogowym Uruchom i naciśnij Enter.
Przejdź do Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków funkcją BitLocker > Dyski systemu operacyjnego.
Kliknij dwukrotnie opcję "Wymagaj dodatkowego uwierzytelniania podczas uruchamiania" w prawym okienku.
Wybierz "Włączone" w górnej części okna tutaj. Następnie kliknij pole "Konfiguruj klucz uruchomienia TPM" i wybierz opcję "Wymagaj klucza uruchomienia z TPM". Kliknij "OK", aby zapisać zmiany.
Krok trzeci: Skonfiguruj klucz startowy dla swojego dysku
Teraz możesz użyć metody
manage-bde, aby skonfigurować dysk USB dla dysku zaszyfrowanego funkcją BitLocker.
Najpierw włóż dysk USB do komputera. Zwróć uwagę na literę dysku USB - D: na poniższym zrzucie ekranu. System Windows zapisze mały plik .bek na dysku i w ten sposób stanie się on kluczem startowym.
Następnie uruchom okno wiersza polecenia jako administrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz "Wiersz polecenia (administrator)". W systemie Windows 7 znajdź skrót "Wiersz polecenia" w menu Start, kliknij go prawym przyciskiem myszy i wybierz "Uruchom jako administrator"
Uruchom następujące polecenie. Poniższe polecenie działa na dysku C:, więc jeśli chcesz wymagać klucza uruchomienia dla innego dysku, wprowadź jego literę dysku zamiast . Musisz także wprowadzić literę podłączonego dysku USB, którego chcesz użyć jako klucza uruchomienia zamiast c:
x:.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Klucz zostanie zapisany na dysku USB jako ukryty plik z rozszerzeniem .bek. Możesz to zobaczyć, jeśli pokażesz ukryte pliki.
Przy następnym uruchomieniu komputera zostaniesz poproszony o włożenie dysku USB. Zachowaj ostrożność przy użyciu klucza — osoba, która skopiuje klucz z dysku USB, może użyć tej kopii do odblokowania dysku zaszyfrowanego funkcją BitLocker.
Aby dokładnie sprawdzić, czy ochrona TPMAndStartupKey została dodana poprawnie, możesz uruchomić następujące polecenie:
manage-bde -status
(Wyświetlany tutaj program zabezpieczający klucz "Hasło numeryczne" to klucz odzyskiwania).
Jak usunąć wymaganie klucza uruchomienia
Żeby przestać korzystać z klucza uruchomienia najpierw trzeba wrócić do edytora zasad grupy i zmienić opcję na "Zezwalaj na klucz uruchomienia z TPM". Nie można pozostawić opcji ustawionej na "Wymagaj klucza uruchomienia z modułem TPM" lub system Windows nie pozwoli na usunięcie wymagania klucza uruchomienia z dysku.
Następnie otwórz okno wiersza polecenia jako administrator i uruchom następujące polecenie (ponownie, zastępując, jeśli używasz innego dysku): c:
manage-bde -protectors -add c: -TPM
Spowoduje to zastąpienie wymagania "TPMandStartupKey" wymaganiem "TPM", usuwając kod PIN. Dysk funkcji BitLocker zostanie automatycznie odblokowany przez moduł TPM komputera po uruchomieniu.
Aby sprawdzić, czy to się udało, uruchom ponownie polecenie status:
manage-bde -status c:
Spróbuj najpierw ponownie uruchomić komputer. Jeśli wszystko działa poprawnie, a komputer nie wymaga dysku USB do uruchomienia, możesz sformatować dysk lub po prostu usunąć plik BEK. Możesz też po prostu zostawić go na dysku - ten plik w rzeczywistości już nic nie zrobi.
Jeśli utracisz klucz uruchomienia lub usuniesz plik .bek z dysku, musisz podać kod odzyskiwania funkcji BitLocker dla dysku systemowego.
