Engedélyezze a BitLocker titkosítást, és a Windows fogjaautomatikusan oldja fel a meghajtót minden egyes alkalommal, amikor elindítja a számítógépet a legtöbb modern számítógépbe beépített TPM segítségével. Bármely USB flash meghajtót beállíthatja „indítási kulcsként”, amelynek a rendszerindításkor meg kell jelennie, mielőtt a számítógép visszafejteni tudja a meghajtót és elindíthatja a Windows rendszert.
Ez hatékonyan növeli a két tényező hitelesítéséta BitLocker titkosításhoz. Amikor elindítja a számítógépet, meg kell adnia az USB-kulcsot, mielőtt visszafejtené. Ez különösen akkor lenne hasznos, ha egy kicsi USB-meghajtót kulcstartóval hordoz.
Első lépés: Engedélyezze a BitLocker alkalmazást (ha még nem tette meg)
Ez nyilvánvalóan megköveteli a BitLocker meghajtóttitkosítás, ami azt jelenti, hogy csak a Windows Professional és Enterprise kiadásain működik. Az alábbi lépések végrehajtása előtt engedélyeznie kell a BitLocker titkosítást a rendszermeghajtón a Vezérlőpulton.
Ha nem akarja engedélyezni a BitLocker bekapcsolásátTPM nélküli számítógép esetén dönthet úgy, hogy létrehoz egy USB indítási kulcsot a telepítési folyamat részeként. Ezt a TPM helyett fogják használni. Az alábbi lépésekre csak akkor van szükség, ha engedélyezik a BitLocker használatát TPM-ekkel rendelkező számítógépeken, amelyek a legtöbb modern számítógép rendelkeznek.
Ha van egy Windows otthoni verziója, akkor nem fogja használniképesnek kell lennie a BitLocker használatára. Lehet, hogy az eszköz titkosítási funkciója van, de ez másképp működik, mint a BitLocker, és nem teszi lehetővé indítási kulcs megadását.
Második lépés: Engedélyezze az indítási kulcsot a csoportházirend-szerkesztőben
Miután engedélyezte a BitLocker alkalmazást, akkor ezt meg kell tennieengedélyezze az indítási kulcs követelményét a Windows csoportszabályában. A Csoportházirend-szerkesztő megnyitásához nyomja meg a Windows + R billentyűzetet, írja be a „gpedit.msc” parancsot a Futtatás párbeszédpanelen, és nyomja meg az Enter billentyűt.
Keresse meg a számítógép konfigurációját> Felügyeleti sablonok> Windows-összetevők> BitLocker meghajtótitkosítás> Operációs rendszer meghajtók a Csoportházirend ablakban.
Kattintson duplán a jobb oldali ablaktáblán a „További hitelesítés megkövetelése indításkor” opcióra.
Itt válassza az „Enabled” elemet az ablak tetején. Ezután kattintson a „TPM indítási kulcs konfigurálása” alatt található négyzetre, és válassza a „Indítási kulcs megkövetelése a TPM-mel” lehetőséget. Kattintson az „OK” gombra a módosítások mentéséhez.
Harmadik lépés: Konfigurálja a meghajtó indítási kulcsát
Most már használhatja a manage-bde parancs az USB meghajtó konfigurálásához a BitLocker-titkosított meghajtóra.
Először helyezze be az USB meghajtót a számítógépébe. Vegye figyelembe az USB meghajtó meghajtó betűjét - D: az alábbi képernyőképen. A Windows egy kisméretű .bek fájlt ment a meghajtóra, és ez lesz az indítási kulcs.
Ezután indítson el egy parancssori ablakot mintAdminisztrátor. Windows 10 vagy 8 esetén kattintson a jobb gombbal a Start gombra, és válassza a „Parancssor (Rendszergazda)” menüpontot. Windows 7 rendszeren keresse meg a „Parancssor” parancsikont a Start menüben, kattintson a jobb gombbal, és válassza a „Futtatás rendszergazdaként” menüpontot.
Futtassa a következő parancsot. Az alábbi parancs a C: meghajtón működik, tehát ha egy másik meghajtó indítási kulcsát kívánja megkövetelni, írja be a meghajtó betűjét, és ne c: . Ezenkívül be kell írnia a csatlakoztatott USB-meghajtó meghajtó betűjét is, amelyet indítási kulcsként kíván használni x: .
manage-bde -protectors -add c: -TPMAndStartupKey x:
A kulcs rejtett fájlként kerül elmentésre az USB meghajtóra .bek fájlkiterjesztéssel. Láthatja, ha rejtett fájlokat mutat.
Ezután a rendszer felkéri az USB-meghajtó behelyezéséreamikor elindítja a számítógépet. Vigyázzon a kulcsra - valaki, aki lemásolja a kulcsot az USB meghajtóról, felhasználhatja ezt a másolatot a BitLocker titkosított meghajtójának feloldására.
Annak ellenőrzéséhez, hogy a TPMAndStartupKey védőeszköz megfelelően lett-e hozzáadva, futtassa a következő parancsot:
manage-bde -status
(Az itt megjelenített „Numerical Password” kulcsvédő eszköz a helyreállítási kulcs.)
Hogyan lehet eltávolítani az indítási kulcs követelményét
Ha meggondolja magát, és meg akarja állítaniha később szükség van az indítási kulcsra, visszavonhatja ezt a változást. Először térjen vissza a csoportházirend-szerkesztőbe, és váltson vissza az opcióra: „Indulási kulcs engedélyezése TPM-mel”. Nem hagyhatja el az „Indítási kulcs megkövetelése a TPM használatával” beállítást, vagy a Windows nem engedi meg, hogy eltávolítsa az indítási kulcs követelményét a meghajtóból.
Ezután nyissa meg a Parancssor ablakot rendszergazdaként, és futtassa a következő parancsot (ismét, helyettesítve: c: ha más meghajtót használ):
manage-bde -protectors -add c: -TPM
Ez felváltja a „TPMandStartupKey” követelményt egy „TPM” követelményre, törölve a PIN-kódot. A BitLocker meghajtó automatikusan feloldódik a számítógép TPM-jén, amikor elindul.
A sikeres végrehajtás ellenőrzéséhez futtassa újra az állapotparancsot:
manage-bde -status c:
Először próbálja újraindítani a számítógépet. Ha minden megfelelően működik, és a számítógépe nem igényli az USB meghajtó indítását, akkor szabadon formázhatja a meghajtót, vagy csak törölheti a BEK fájlt. Akkor is hagyhatja meghajtóján - ez a fájl valójában már nem tesz semmit.
Ha elveszíti az indítási kulcsot, vagy törli a.bek fájlt a meghajtóról, meg kell adnia a BitLocker helyreállítási kódot a rendszermeghajtóhoz. A biztonságos helyre kellett volna mennie, amikor engedélyezte a BitLocker alkalmazást a rendszermeghajtóra.
Kép jóváírása: Tony Austin / Flickr
