30Aug
Aktivieren Sie die BitLocker-Verschlüsselung und Windows wird Ihr Laufwerk automatisch jedes Mal entsperren, wenn Sie Ihren Computer mit dem in den meisten modernen Computern integrierten TPM starten. Sie können jedoch jedes USB-Flash-Laufwerk als "Startschlüssel" einrichten, der beim Booten vorhanden sein muss, damit der Computer das Laufwerk entschlüsseln und Windows starten kann.
Dies fügt der BitLocker-Verschlüsselung effektiv eine Zwei-Faktor-Authentifizierung hinzu. Wenn Sie Ihren Computer starten, müssen Sie den USB-Schlüssel bereitstellen, bevor er entschlüsselt wird. Dies wäre besonders nützlich mit einem kleinen USB-Laufwerk, das Sie an einem Schlüsselbund mit sich führen.
Schritt 1: BitLocker aktivieren( falls noch nicht geschehen)
Dies erfordert natürlich die BitLocker-Laufwerksverschlüsselung, was bedeutet, dass es nur unter Professional- und Enterprise-Editionen von Windows funktioniert. Bevor Sie einen der folgenden Schritte ausführen können, müssen Sie die BitLocker-Verschlüsselung auf Ihrem Systemlaufwerk über die Systemsteuerung aktivieren.
Wenn Sie sich bemühen, BitLocker auf einem PC ohne TPM zu aktivieren, können Sie im Rahmen des Einrichtungsvorgangs einen USB-Systemstartschlüssel erstellen. Dies wird anstelle des TPM verwendet. Die folgenden Schritte sind nur erforderlich, wenn Sie BitLocker auf Computern mit TPMs aktivieren, die die meisten modernen Computer haben.
Wenn Sie eine Home-Version von Windows haben, können Sie BitLocker nicht verwenden. Möglicherweise verfügen Sie über die Geräteverschlüsselungsfunktion, die jedoch anders als BitLocker funktioniert und Ihnen nicht die Bereitstellung eines Systemstartschlüssels ermöglicht.
Schritt 2: Aktivieren Sie den Startschlüssel im Gruppenrichtlinieneditor
Nachdem Sie BitLocker aktiviert haben, müssen Sie die Startschlüsselanforderungen in den Gruppenrichtlinien von Windows aktivieren. Um den Gruppenrichtlinien-Editor zu öffnen, drücken Sie Windows + R auf Ihrer Tastatur, geben Sie "gpedit.msc" in das Dialogfeld "Ausführen" ein und drücken Sie die Eingabetaste.
Kopf-zu-Computer-Konfiguration & gt;Administrative Vorlagen & gt;Windows-Komponenten & gt;BitLocker-Laufwerkverschlüsselung & gt;Betriebssystem Laufwerke im Gruppenrichtlinienfenster.
Doppelklicken Sie im rechten Fensterbereich auf die Option "Zusätzliche Authentifizierung beim Start anfordern".
Wählen Sie oben im Fenster "Aktiviert" aus. Klicken Sie dann auf das Feld unter "Configure TPM Startup Key" und wählen Sie die Option "Require Startup Key With TPM".Klicken Sie auf "OK", um Ihre Änderungen zu speichern.
Schritt 3: Konfigurieren eines Startschlüssels für Ihr Laufwerk
Sie können jetzt den Befehl manage-bde verwenden, um ein USB-Laufwerk für Ihr BitLocker-verschlüsseltes Laufwerk zu konfigurieren.
Stecken Sie zuerst ein USB-Laufwerk in Ihren Computer. Beachten Sie den Laufwerksbuchstaben des USB-Laufwerks-D: in der Abbildung unten. Windows speichert eine kleine BEK-Datei auf dem Laufwerk, und so wird es Ihr Startschlüssel.
Als nächstes starten Sie ein Eingabeaufforderungsfenster als Administrator. Unter Windows 10 oder 8 klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie "Eingabeaufforderung( Admin)".Unter Windows 7 finden Sie die Verknüpfung "Eingabeaufforderung" im Startmenü, klicken Sie mit der rechten Maustaste darauf und wählen Sie "Als Administrator ausführen".
Führen Sie den folgenden Befehl aus. Der folgende Befehl funktioniert auf Laufwerk C: Wenn Sie einen Startschlüssel für ein anderes Laufwerk benötigen, geben Sie seinen Laufwerksbuchstaben anstelle von c: ein. Sie müssen auch den Laufwerksbuchstaben des angeschlossenen USB-Laufwerks eingeben, das Sie anstelle von x: als Systemstartschlüssel verwenden möchten.
manage-bde -protectors -add c: -TPMAndStartupKey x: 
Der Schlüssel wird auf dem USB-Laufwerk als versteckte Datei mit der Dateinamenerweiterung. bek gespeichert. Sie können es sehen, wenn Sie versteckte Dateien anzeigen.
Sie werden aufgefordert, das USB-Laufwerk beim nächsten Booten des Computers einzulegen. Seien Sie vorsichtig mit dem Schlüssel - jemand, der den Schlüssel von Ihrem USB-Laufwerk kopiert, kann diese Kopie verwenden, um Ihr mit BitLocker verschlüsseltes Laufwerk zu entsperren.
Um zu überprüfen, ob der TPMAndStartupKey-Schutz richtig hinzugefügt wurde, können Sie den folgenden Befehl ausführen:
manage-bde -status( Der hier angezeigte "Numerische Kennwort" -Schutzschlüssel ist Ihr Wiederherstellungsschlüssel.)
So entfernen Sie die Startschlüsselanforderung
Wenn Sie Ihre Meinung ändern und später nicht mehr nach dem Startschlüssel gefragt werden möchten, können Sie diese Änderung rückgängig machen. Kehren Sie zunächst zum Gruppenrichtlinien-Editor zurück und ändern Sie die Option zurück auf "Startschlüssel mit TPM zulassen".Sie können die Option nicht auf "Erfordert Startschlüssel mit TPM" setzen oder Windows lässt es nicht zu, dass Sie die Startschlüsselanforderung vom Laufwerk entfernen.
Als nächstes öffnen Sie ein Eingabeaufforderungsfenster als Administrator und führen Sie den folgenden Befehl aus( wiederum Ersetzen von c: Wenn Sie ein anderes Laufwerk verwenden):
manage-bde -protectors -add c: -TPMDies ersetzt den "TPMandStartupKey"Anforderung mit einer" TPM "-Anforderung, Löschen der PIN.Ihr BitLocker-Laufwerk wird beim Booten automatisch über das TPM Ihres Computers entsperrt.
Um zu überprüfen, ob dies erfolgreich abgeschlossen wurde, führen Sie den Befehl status erneut aus:
manage-bde -status c: 
Versuchen Sie zunächst, den Computer neu zu starten. Wenn alles ordnungsgemäß funktioniert und Ihr Computer das USB-Laufwerk nicht zum Booten benötigt, können Sie das Laufwerk formatieren oder einfach die BEK-Datei löschen. Sie können es auch einfach auf Ihrer Festplatte lassen - diese Datei wird nichts mehr tun.
Wenn Sie den Startschlüssel verlieren oder die. bek-Datei vom Laufwerk löschen, müssen Sie den BitLocker-Wiederherstellungscode für das Systemlaufwerk angeben. Sie sollten an einem sicheren Ort gespeichert haben, wenn Sie BitLocker für Ihr Systemlaufwerk aktiviert haben.
Bildnachweis: Tony Austin / Flickr