Включите шифрование BitLocker, и Windows будет автоматически разблокировать ваш диск при каждом запуске компьютера с использованием TPM, встроенного в большинство современных компьютеров . Но вы можете настроить любой USB-накопитель в качестве «ключа запуска», который должен присутствовать при загрузке, прежде чем ваш компьютер сможет расшифровать свой накопитель и запустить Windows.
Это эффективно добавляет двухфакторную аутентификацию к шифрованию BitLocker. Каждый раз, когда вы запускаете компьютер, вам необходимо предоставить USB-ключ, прежде чем он будет расшифрован. Это было бы особенно полезно для небольшого USB-накопителя, который вы носите с собой на связке ключей.
СВЯЗАННЫЕ: Как настроить шифрование BitLocker в Windows
Шаг первый: включите BitLocker (если вы этого еще не сделали)
Это, очевидно, требует шифрования диска BitLocker, что означает, что он работает только в выпусках Windows Professional и Enterprise. Прежде чем вы сможете выполнить любой из приведенных ниже шагов, вам необходимо включить шифрование BitLocker на системном диске с панели управления.
Если вы не хотите включать BitLocker на ПК без доверенного платформенного модуля , вы можете создать ключ запуска USB в процессе установки. Это будет использоваться вместо TPM. Следующие шаги необходимы только при включении BitLocker на компьютерах с доверенными платформенными модулями, которые есть на большинстве современных компьютеров .
Если у вас есть домашняя версия Windows, вы не сможете использовать BitLocker. Вместо этого вы можете использовать функцию шифрования устройства , но она работает не так, как BitLocker, и не позволяет предоставить ключ запуска.
Шаг второй: включите ключ запуска в редакторе групповой политики
После включения BitLocker необходимо включить требование ключа запуска в групповой политике Windows. Чтобы открыть редактор групповой политики, нажмите Windows + R на клавиатуре, введите «gpedit.msc» в диалоговом окне «Выполнить» и нажмите Enter.
Перейдите в раздел Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы в окне групповой политики.
Дважды щелкните параметр «Требовать дополнительную аутентификацию при запуске» на правой панели.
Выберите «Включено» в верхней части окна здесь. Затем установите флажок «Настроить ключ запуска TPM» и выберите параметр «Требовать ключ запуска с TPM». Нажмите «ОК», чтобы сохранить изменения.
Шаг третий: настройка ключа запуска для вашего диска
Теперь вы можете использовать команду manage-bde для настройки USB-накопителя для вашего зашифрованного диска BitLocker.
Сначала вставьте USB-накопитель в компьютер. Обратите внимание на букву диска USB-накопителя –D: на снимке экрана ниже. Windows сохранит небольшой файл .bek на диск, и он станет вашим ключом запуска.
Затем запустите окно командной строки от имени администратора. В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (Admin)». В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».
Запустите следующую команду. Приведенная ниже команда работает на вашем диске C :, поэтому, если вам требуется ключ запуска для другого диска, введите его букву вместо c: Вам также необходимо ввести букву диска подключенного USB-накопителя, который вы хотите использовать в качестве ключа запуска вместо x:
manage-bde -protectors -add c: -TPMAndStartupKey x:
Ключ будет сохранен на USB-накопителе в виде скрытого файла с расширением .bek. Вы можете увидеть это, если покажете скрытые файлы .
Вам будет предложено вставить USB-накопитель при следующей загрузке компьютера. Будьте осторожны с ключом — тот, кто копирует ключ с вашего USB-накопителя, может использовать эту копию для разблокировки вашего зашифрованного диска BitLocker.
Чтобы проверить, правильно ли был добавлен протектор TPMAndStartupKey, вы можете выполнить следующую команду:
manage-bde -status
(Защитная кнопка «Числовой пароль», отображаемая здесь, является вашим ключом восстановления.)
Как удалить требование ключа запуска
Если вы передумали и хотите прекратить запрашивать ключ запуска позже, вы можете отменить это изменение. Сначала вернитесь в редактор групповой политики и измените параметр обратно на «Разрешить ключ запуска с TPM». Вы не можете оставить параметр «Требовать ключ запуска с доверенным платформенным модулем», иначе Windows не позволит вам удалить требование ключа запуска с диска.
Затем откройте окно командной строки от имени администратора и выполните следующую команду (опять же, заменив c: если вы используете другой диск):
manage-bde -protectors -add c: -TPM
Это заменит требование «TPMandStartupKey» на требование «TPM», удалив PIN-код. Ваш диск BitLocker автоматически разблокируется через TPM вашего компьютера при загрузке.
Чтобы убедиться, что это выполнено успешно, снова введите команду status:
manage-bde -status c:
Попробуйте сначала перезагрузить компьютер. Если все работает правильно и ваш компьютер не требует USB-накопителя для загрузки, вы можете отформатировать накопитель или просто удалить файл BEK. Вы также можете просто оставить его на своем диске — этот файл больше ничего не сделает.
Если вы потеряете ключ автозагрузки или удалите файл .bek с диска, вам потребуется предоставить код восстановления BitLocker для вашего системного диска. Вы должны были сохранить в безопасном месте, когда вы включили BitLocker для вашего системного диска.
Изображение предоставлено: Тони Остин / Flickr