Omogućite BitLocker šifriranje i Windows ćeautomatski otključati vaš pogon svaki put kada pokrenete računalo pomoću TPM ugrađenog u većinu modernih računala. Ali bilo koji USB flash pogon možete postaviti kao "tipku za pokretanje" koja mora biti prisutna pri pokretanju kako bi vaše računalo moglo dešifrirati svoj pogon i pokrenuti Windows.
To učinkovito dodaje dvofaktorsku provjeru autentičnostina BitLocker enkripciju. Kad god pokrenete računalo, morat ćete dostaviti USB ključ prije nego što će biti dešifriran. Ovo bi bilo posebno korisno s malim USB pogonom koji nosite sa sobom na privjesak za ključeve.
Prvi korak: omogućite BitLocker (ako već niste)
Ovo očito zahtijeva BitLocker pogonenkripcije, što znači da djeluje samo na Professional and Enterprise izdanjima sustava Windows. Prije nego što budete mogli slijediti bilo koji od koraka u nastavku, morat ćete omogućiti upravljačku šifru BitLocker-a na vašem sustavu s upravljačke ploče.
Ako krenete da uključite BitLockerračunalo bez TPM-a, možete odabrati stvaranje USB ključa za pokretanje kao dio postupka postavljanja. Ovo će se koristiti umjesto TPM-a. Korak u nastavku potrebni su samo prilikom omogućavanja BitLockera na računalima s TPM-ovima, kakva ih ima većina modernih računala.
Ako imate početnu verziju sustava Windows, nećetebiti u mogućnosti koristiti BitLocker. Možda ćete umjesto toga imati značajku šifriranja uređaja, ali to djeluje drugačije od BitLockera i ne dopušta vam da unesete ključ za pokretanje.
Drugi korak: Omogućite tipku za pokretanje u uređivaču pravila grupe
Nakon što omogućite BitLocker, morat ćeteomogućite zahtjev za pokretanje ključa u pravilima grupe sustava Windows. Da biste otvorili uređivač grupnih politika, pritisnite Windows + R na tipkovnici, upišite "gpedit.msc" u dijaloški okvir Run i pritisnite Enter.
Idite na Konfiguracija računala> Administrativne predloške> Komponente sustava Windows> Šifriranje pogona BitLocker> Pogon operativnog sustava u prozoru Grupna pravila.
Dvaput kliknite na opciju "Zahtijevajte dodatnu provjeru autentičnosti pri pokretanju" u desnom oknu.
Ovdje odaberite "Omogućeno" na vrhu prozora. Zatim kliknite okvir ispod "Konfiguriraj TPM tipku za pokretanje" i odaberite opciju "Zahtijevaj tipku za pokretanje s TPM-om". Kliknite "U redu" da biste spremili promjene.
Treći korak: Konfigurirajte tipku za pokretanje svog pogona
Sada možete koristiti manage-bde naredba za konfiguriranje USB pogona za vaš BitLocker šifrirani pogon.
Prvo umetnite USB pogon u računalo. Imajte na umu slovo pogona USB pogona-D: na slici ispod. Windows će spremiti malu .bek datoteku na pogon i to će postati vaš startni ključ.
Zatim pokrenite naredbeni prozor kaoAdministrator. U sustavu Windows 10 ili 8 desnom tipkom miša kliknite gumb Start i odaberite "Komandni redak (Administrator)". U sustavu Windows 7 pronađite prečac "Command Prompt" u izborniku Start, kliknite ga desnom tipkom miša i odaberite "Run as Administrator"
Pokrenite sljedeću naredbu. Naredba u nastavku radi na vašem C: pogonu, pa ako želite zahtijevati tipku za pokretanje drugog pogona, umjesto nje upišite slovo pogona c: , Također ćete trebati unijeti slovo pogona na USB pogonu koji želite koristiti kao tipku za pokretanje x: .
manage-bde -protectors -add c: -TPMAndStartupKey x:
Ključ će biti spremljen na USB pogon kao skrivena datoteka s .bek datotečnim nastavkom. Možete ga vidjeti ako pokažete skrivene datoteke.
Od vas će se tražiti da sljedeći put umetnete USB pogonvrijeme pokretanja računala. Budite oprezni s ključem - osoba koja kopira ključ s vašeg USB pogona može ga iskoristiti za otključavanje vašeg BitLocker šifriranog pogona.
Da biste dvaput provjerili je li zaštitni uređaj TPMAndStartupKey ispravno dodan, možete pokrenuti sljedeću naredbu:
manage-bde -status
(Ovdje je prikazan zaštitni ključ "numeričke lozinke" vaš ključ za oporavak.)
Kako ukloniti zahtjev ključa za pokretanje
Ako se predomislite i želite prestatizahtijevajući ključ za pokretanje kasnije, možete poništiti ovu promjenu. Prvo se vratite u uređivač pravila grupe i promijenite opciju natrag "Dopusti tipku za pokretanje pomoću TPM-a". Ne možete ostaviti opciju postavljenu na „Zahtijevaj ključ za pokretanje pomoću TPM-a“ ili vam Windows neće dopustiti da uklonite zahtjev ključa za pokretanje s pogona.
Zatim otvorite prozor naredbenog retka kao Administrator i pokrenite sljedeću naredbu (opet, zamjenjujući c: ako koristite drugi pogon):
manage-bde -protectors -add c: -TPM
Ovo će zamijeniti zahtjev "TPMandStartupKey" sa zahtjevom "TPM", brisanjem PIN-a. Vaš BitLocker pogon automatski će se otključati preko TPM-a vašeg računala prilikom pokretanja.
Da biste provjerili je li ovo uspješno završeno, ponovo pokrenite naredbu statusa:
manage-bde -status c:
Prvo pokušajte ponovo pokrenuti računalo. Ako sve ispravno radi i računalo se ne zahtijeva da se USB pogon pokrene, slobodno formatirajte pogon ili jednostavno izbrisati BEK datoteku. Možete je i ostaviti na svom disku - ta datoteka više neće ništa učiniti.
Ako izgubite tipku za pokretanje ili izbrišete.bek datoteku s pogona, morat ćete navesti BitLocker kôd za oporavak za vaš sistemski pogon. Trebali ste se spremiti negdje na sigurno kada ste omogućili BitLocker za pogon sustava.
Kreditna slika: Tony Austin / Flickr
