30Aug
Habilite el cifrado de BitLocker y Windows lo desbloqueará automáticamente cada vez que inicie su computadora con el TPM incorporado en la mayoría de las computadoras modernas. Pero puede configurar cualquier unidad flash USB como una "clave de inicio" que debe estar presente en el arranque antes de que su computadora pueda descifrar su unidad e iniciar Windows.
Esto agrega efectivamente la autenticación de dos factores al cifrado de BitLocker. Cada vez que inicie su computadora, deberá proporcionar la llave USB antes de que se descifre. Esto sería particularmente útil con una unidad USB pequeña que llevas contigo en un llavero.
Paso uno: habilite BitLocker( si no lo ha hecho)
Esto, obviamente, requiere el cifrado de la unidad BitLocker, lo que significa que solo funciona en las ediciones Professional y Enterprise de Windows. Para poder seguir cualquiera de los pasos a continuación, deberá habilitar el cifrado de BitLocker en la unidad del sistema desde el Panel de control.
Si hace todo lo posible para habilitar BitLocker en una PC sin TPM, puede optar por crear una clave de inicio USB como parte del proceso de configuración. Esto se usará en lugar del TPM.Los siguientes pasos solo son necesarios cuando se habilita BitLocker en computadoras con TPM, que tienen la mayoría de las computadoras modernas.
Si tiene una versión de inicio de Windows, no podrá usar BitLocker. En su lugar, puede tener la función de cifrado del dispositivo, pero esto funciona de manera diferente a BitLocker y no le permite proporcionar una clave de inicio.
Paso dos: Habilite la clave de inicio en el Editor de políticas de grupo
Una vez que haya habilitado BitLocker, deberá habilitar el requisito de la clave de inicio en la política de grupo de Windows. Para abrir el Editor de políticas de grupo, presione Windows + R en su teclado, escriba "gpedit.msc" en el cuadro de diálogo Ejecutar y presione Entrar.
Dirígete a Configuración de equipo & gt;Plantillas administrativas & gt;Componentes de Windows & gt;Cifrado de unidad BitLocker & gt;El sistema operativo se mueve en la ventana de Política de grupo.
Haga doble clic en la opción "Requerir autenticación adicional al inicio" en el panel derecho.
Seleccione "Activado" en la parte superior de la ventana aquí.A continuación, haga clic en el cuadro debajo de "Configurar la clave de inicio de TPM" y seleccione la opción "Requerir clave de inicio con TPM".Haga clic en "Aceptar" para guardar sus cambios.
Paso tres: configure una clave de inicio para su unidad
Ahora puede usar el comando manage-bde para configurar una unidad USB para su unidad encriptada con BitLocker.
Primero, inserte una unidad USB en su computadora. Tenga en cuenta la letra de la unidad USB-D: en la captura de pantalla a continuación. Windows guardará un pequeño archivo. bek en la unidad y así se convertirá en su clave de inicio.
A continuación, abra una ventana del símbolo del sistema como administrador. En Windows 10 u 8, haga clic con el botón derecho en el botón Inicio y seleccione "Símbolo del sistema( Administrador)".En Windows 7, busque el acceso directo "Símbolo del sistema" en el menú Inicio, haga clic con el botón derecho y seleccione "Ejecutar como administrador"
Ejecute el siguiente comando. El siguiente comando funciona en su unidad C: entonces, si desea solicitar una clave de inicio para otra unidad, ingrese su letra de unidad en lugar de c:.También necesitará ingresar la letra de la unidad USB conectada que desea usar como clave de inicio en lugar de x:.
manage-bde-protectors -add c: -TPMAndStartupKey x: 
La clave se guardará en la unidad USB como un archivo oculto con la extensión de archivo. bek. Puede verlo si muestra archivos ocultos.
Se le pedirá que inserte la unidad USB la próxima vez que inicie su computadora. Tenga cuidado con la llave: alguien que copie la llave de su unidad USB puede usar esa copia para desbloquear su unidad encriptada con BitLocker.
Para verificar dos veces si el protector TPMAndStartupKey se agregó correctamente, puede ejecutar el siguiente comando:
manage-bde -status( El protector de la clave "Contraseña numérica" que se muestra aquí es su clave de recuperación).
Cómo eliminar el requisito de la clave de inicio
Si cambia de opinión y quiere dejar de necesitar la clave de inicio más adelante, puede deshacer este cambio. Primero, regrese al Editor de políticas de grupo y cambie la opción a "Permitir clave de inicio con TPM".No puede dejar la opción establecida en "Requerir clave de inicio con TPM" o Windows no le permitirá eliminar el requisito de la clave de inicio de la unidad.
A continuación, abra una ventana del símbolo del sistema como administrador y ejecute el siguiente comando( nuevamente, reemplazando c: si está utilizando una unidad diferente):
manage-bde -protectors -add c: -TPMEsto reemplazará a "TPMandStartupKey""Requisito con un requisito de" TPM ", eliminando el PIN.Su unidad BitLocker se desbloqueará automáticamente a través del TPM de su computadora cuando arranque.
Para verificar que esto se haya completado correctamente, ejecute nuevamente el comando de estado:
manage-bde -status c: 
Primero intente reiniciar su computadora. Si todo funciona correctamente y su computadora no requiere que la unidad USB se inicie, puede formatear la unidad o simplemente eliminar el archivo BEK.También puede dejarlo en su disco, ese archivo ya no hará nada.
Si pierde la clave de inicio o elimina el archivo. bek de la unidad, deberá proporcionar el código de recuperación de BitLocker para la unidad del sistema. Deberías haber guardado en un lugar seguro cuando habilitaste BitLocker para tu unidad del sistema.
Crédito de la imagen: Tony Austin / Flickr