אפשר קידוד BitLocker, ו- Windows תעשה זאתבטל את נעילת הכונן באופן אוטומטי בכל פעם שאתה מפעיל את המחשב שלך באמצעות TPM המובנה במחשבים המודרניים ביותר. עם זאת, באפשרותך להגדיר כל כונן הבזק מסוג USB כ"מפתח הפעלה "שחייב להיות באתחול לפני שהמחשב שלך יכול לפענח את הכונן שלו ולהפעיל את Windows.
זה מוסיף למעשה אימות דו-גורמילהצפנת BitLocker. בכל פעם שתפעיל את המחשב, תצטרך לספק את מפתח ה- USB לפני שיפענח אותו. זה יעיל במיוחד עם כונן USB קטן שאתה נושא איתך במחזיק מפתחות.
שלב ראשון: הפעל את BitLocker (אם עדיין לא עשית זאת)
ברור שזה דורש כונן של BitLockerהצפנה, שפירושה שהיא עובדת רק במהדורות המקצועיות והארגוניות של Windows. לפני שתוכל לבצע אחת מהשלבים שלהלן, עליך לאפשר קידוד BitLocker בכונן המערכת שלך מלוח הבקרה.
אם אתה יוצא מגדרך כדי להפעיל את BitLockerמחשב ללא TPM, אתה יכול לבחור ליצור מפתח הפעלה USB כחלק מתהליך ההתקנה. זה ישמש במקום ה- TPM. השלבים שלהלן נחוצים רק בעת הפעלת BitLocker במחשבים עם TPMs, שיש לרוב המחשבים המודרניים.
אם יש לך גרסת בית של Windows, לא תעשה זאתלהיות מסוגלים להשתמש ב- BitLocker. ייתכן שיש לך במקום זאת את תכונת הצפנת ההתקנים, אך זו פועלת באופן שונה מ- BitLocker ואינה מאפשרת לך לספק מפתח הפעלה.
שלב שני: הפעל את מפתח ההפעלה בעורך המדיניות הקבוצתית
לאחר שתפעיל את BitLocker, תצטרך לעשות זאתאפשר את דרישת מפתח ההפעלה במדיניות הקבוצתית של Windows. כדי לפתוח את עורך המדיניות הקבוצתית, לחץ על Windows + R במקלדת, הקלד "gpedit.msc" בתיבת הדו-שיח הפעלה ולחץ על Enter.
עבור אל תצורת מחשב> תבניות ניהול> רכיבי Windows> קידוד כונן BitLocker> כונני מערכת הפעלה בחלון המדיניות הקבוצתית.
לחץ פעמיים על האפשרות "דרוש אימות נוסף בעת האתחול" בחלונית הימנית.
בחר "Enabled" בראש החלון כאן. לאחר מכן לחץ על התיבה תחת "הגדר מפתח הפעלה TPM" ובחר באפשרות "דרוש מפתח הפעלה עם TPM". לחץ על "אישור" כדי לשמור את השינויים שלך.
שלב שלישי: הגדר מפתח הפעלה לכונן שלך
כעת תוכל להשתמש ב- manage-bde פקודה להגדרת כונן USB לכונן המוצפן שלך ב- BitLocker.
ראשית, הכנס כונן USB למחשב שלך. שימו לב לאות הכונן של כונן ה- USB – D: בתמונת המסך למטה. Windows תשמור בכונן קובץ .bek קטן וככה הוא יהפוך למפתח ההפעלה שלך.
בשלב הבא, הפעל חלון שורת פקודה כ-מנהל. במערכת Windows 10 או 8, לחץ באמצעות לחצן העכבר הימני על לחצן התחל ובחר "שורת הפקודה (ניהול)". במערכת Windows 7, מצא את קיצור הדרך "שורת הפקודה" בתפריט התחל, לחץ עליו באמצעות לחצן העכבר הימני ובחר "הפעל כמנהל"
הפעל את הפקודה הבאה. הפקודה שלהלן פועלת בכונן C: כך שאם ברצונך לדרוש מפתח הפעלה לכונן אחר, הזן את אות הכונן שלו במקום c: . יהיה עליך להזין את אות הכונן של כונן ה- USB המחובר אליו תרצה להשתמש כמפתח הפעלה במקום x: .
manage-bde -protectors -add c: -TPMAndStartupKey x:
המפתח יישמר בכונן ה- USB כקובץ מוסתר עם סיומת הקובץ .bek. אתה יכול לראות את זה אם אתה מציג קבצים נסתרים.
תתבקש להכניס את כונן ה- USB הבאבזמן שאתה מאתחל את המחשב שלך. היזהר עם המפתח - מישהו שמעתיק את המפתח מכונן ה- USB יכול להשתמש בעותק זה כדי לבטל את נעילת הכונן המוצפן של BitLocker.
כדי לבדוק מחדש אם המגן TPMAndStartupKey נוסף כראוי, באפשרותך להריץ את הפקודה הבאה:
manage-bde -status
(מגן המפתח "סיסמה מספרית" המוצג כאן הוא מפתח השחזור שלך.)
כיצד להסיר את דרישת מפתח ההפעלה
אם תשנה את דעתך ואתה רוצה להפסיקהדורש את מפתח ההפעלה מאוחר יותר, אתה יכול לבטל את השינוי הזה. ראשית, חזור לעורך המדיניות הקבוצתית ושנה את האפשרות חזרה ל "אפשר מפתח הפעלה עם TPM". אינך יכול להשאיר את האפשרות שהוגדרה "דרוש מפתח הפעלה עם TPM" או אחרת Windows לא יאפשר לך להסיר את דרישת מפתח ההפעלה מהכונן.
בשלב הבא, פתח חלון שורת פקודה כמנהל והפעל את הפקודה הבאה (שוב, מחליף c: אם אתה משתמש בכונן אחר):
manage-bde -protectors -add c: -TPM
זה יחליף את דרישת "TPMandStartupKey" בדרישת "TPM", תמחק את ה- PIN. כונן BitLocker שלך ייפתח אוטומטית דרך TPM של המחשב שלך בעת האתחול.
כדי לבדוק שההשלמה הושלמה בהצלחה, הפעל שוב את פקודת הסטטוס:
manage-bde -status c:
נסה להפעיל מחדש את המחשב תחילה. אם הכל פועל כראוי והמחשב שלך אינו מצריך אתחול כונן ה- USB, אתה חופשי לעצב את הכונן או פשוט למחוק את קובץ BEK. אתה יכול פשוט להשאיר אותו בכונן שלך - הקובץ הזה כבר לא יעשה דבר.
אם אתה מאבד את מקש ההפעלה או מוחק את.קובץ bek מהכונן, תצטרך לספק את קוד השחזור של BitLocker לכונן המערכת שלך. היית צריך לחסוך במקום בטוח כאשר הפעלת את BitLocker לכונן המערכת שלך.
קרדיט תמונה: טוני אוסטין / פליקר
