Główna » jak » Jak korzystać z klucza USB, aby odblokować komputer zaszyfrowany funkcją BitLocker

    Jak korzystać z klucza USB, aby odblokować komputer zaszyfrowany funkcją BitLocker

    Włącz szyfrowanie BitLocker, a system Windows automatycznie odblokuje dysk za każdym razem, gdy uruchomisz komputer, używając modułu TPM wbudowanego w najnowocześniejsze komputery. Ale możesz ustawić dowolny dysk flash USB jako "klucz startowy", który musi być obecny podczas uruchamiania, zanim komputer może odszyfrować dysk i uruchomić system Windows.

    To skutecznie dodaje uwierzytelnianie dwuskładnikowe do szyfrowania BitLocker. Zawsze, gdy uruchamiasz komputer, musisz podać klucz USB, zanim zostanie odszyfrowany. Byłoby to szczególnie przydatne w przypadku małego napędu USB, który nosisz ze sobą na pęku kluczy.

    Krok pierwszy: Włącz funkcję BitLocker (jeśli jeszcze nie masz)

    To oczywiście wymaga szyfrowania dysków funkcją BitLocker, co oznacza, że ​​działa tylko w wersjach Professional i Enterprise systemu Windows. Przed wykonaniem dowolnego z poniższych kroków należy włączyć szyfrowanie BitLocker na dysku systemowym z poziomu Panelu sterowania.

    Jeśli zrobisz wszystko, aby włączyć funkcję BitLocker na komputerze bez modułu TPM, możesz utworzyć klucz uruchamiania USB w ramach procesu instalacji. To będzie używane zamiast TPM. Poniższe kroki są konieczne tylko przy włączaniu funkcji BitLocker na komputerach z modułami TPM, które są dostępne na większości współczesnych komputerów.

    Jeśli masz wersję domową systemu Windows, nie będziesz mógł używać funkcji BitLocker. Zamiast tego możesz mieć funkcję szyfrowania urządzenia, ale działa ona inaczej niż funkcja BitLocker i nie pozwala na podanie klucza uruchamiania.

    Krok drugi: Włącz klucz uruchamiania w Edytorze zasad grupy

    Po włączeniu funkcji BitLocker należy włączyć wymaganie klucza uruchamiania w zasadach grupy Windows. Aby otworzyć Edytor zasad grupy, naciśnij klawisze Windows + R na klawiaturze, wpisz "gpedit.msc" w oknie dialogowym Uruchom i naciśnij klawisz Enter.

    Przejdź do Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Szyfrowanie dysków funkcją BitLocker> Dyski systemu operacyjnego w oknie Zasady grupy.

    Kliknij dwukrotnie opcję "Wymagaj dodatkowego uwierzytelnienia przy uruchomieniu" w prawym okienku.

    Wybierz "Włączone" w górnej części okna. Następnie kliknij pole "Konfiguruj klucz startowy TPM" i wybierz opcję "Wymagaj klucza startowego z TPM". Kliknij "OK", aby zapisać zmiany.

    Krok trzeci: skonfiguruj klucz uruchamiania dla swojego dysku

    Możesz teraz użyć manage-bde polecenie skonfigurowania napędu USB dla dysku zaszyfrowanego funkcją BitLocker.

    Najpierw włóż dysk USB do komputera. Zwróć uwagę na literę napędu USB-D: na zrzucie ekranu poniżej. Windows zapisze mały plik .bek na dysku i tak stanie się twoim kluczem startowym.

    Następnie uruchom okno wiersza polecenia jako Administrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz "Command Prompt (Admin)". W Windows 7 znajdź skrót "Wiersz polecenia" w menu Start, kliknij go prawym przyciskiem myszy i wybierz "Uruchom jako administrator"

    Uruchom następujące polecenie. Poniższe polecenie działa na dysku C :, więc jeśli chcesz wymagać klucza uruchamiania dla innego dysku, wpisz jego literę dysku zamiast do: . Musisz również wpisać literę napędu podłączonego dysku USB, który chcesz użyć jako klucza uruchamiania zamiast x: .

    manage-bde -protectors -add c: -TPMAndStartupKey x:

    Klucz zostanie zapisany na dysku USB jako ukryty plik z rozszerzeniem .bek. Możesz go zobaczyć, jeśli wyświetlasz ukryte pliki.

    Zostaniesz poproszony o włożenie dysku USB przy następnym uruchomieniu komputera. Uważaj na klucz - ktoś, kto kopiuje klucz z dysku USB, może użyć tej kopii, aby odblokować dysk zaszyfrowany funkcją BitLocker.

    Aby dokładnie sprawdzić, czy zabezpieczenie TPMAndStartupKey zostało poprawnie dodane, możesz uruchomić następujące polecenie:

    manage-bde -status

    (Tutaj wyświetlany jest klucz zabezpieczający "Hasło numeryczne").

    Jak usunąć kluczowy wymóg uruchomienia

    Jeśli zmienisz zdanie i chcesz przestać wymagać klucza startowego później, możesz cofnąć tę zmianę. Najpierw wróć do edytora zasad grupy i zmień opcję z powrotem na "Zezwalaj na klucz startowy z TPM". Nie można pozostawić opcji ustawionej na "Wymagaj klucza uruchamiania z TPM" lub system Windows nie pozwoli na usunięcie wymogu uruchomienia klucza z dysku.

    Następnie otwórz okno wiersza polecenia jako Administrator i uruchom następujące polecenie (ponownie, zastępując do: jeśli używasz innego dysku):

    manage-bde -protectors -add c: -TPM

    Spowoduje to zastąpienie wymogu "TPMandStartupKey" wymogiem "TPM", co spowoduje usunięcie kodu PIN. Napęd BitLocker zostanie automatycznie odblokowany za pomocą modułu TPM komputera po uruchomieniu.

    Aby sprawdzić, czy to się udało, ponownie uruchom komendę status:

    manage-bde -status c:

    Najpierw uruchom ponownie komputer. Jeśli wszystko działa poprawnie, a komputer nie wymaga rozruchu dysku USB, możesz sformatować dysk lub po prostu usunąć plik BEK. Możesz też po prostu zostawić to na dysku - plik ten nie będzie już więcej robił.


    Jeśli zgubisz klucz uruchomienia lub usuniesz plik .bek z dysku, musisz podać kod odzyskiwania funkcji BitLocker dla dysku systemowego. Powinieneś był bezpiecznie zapisać, gdy włączysz funkcję BitLocker dla dysku systemowego.

    Image Credit: Tony Austin / Flickr