30Aug

Hoe een USB-sleutel te gebruiken om een ​​met BitLocker versleutelde pc te ontgrendelen

click fraud protection

1824655391_00b093c6d7_b

Schakel BitLocker-codering in en Windows zal uw schijf automatisch ontgrendelen telkens wanneer u uw computer start met behulp van de TPM die is ingebouwd in de meeste moderne computers. Maar u kunt elke USB-flashdrive instellen als een "opstartsleutel" die aanwezig moet zijn bij het opstarten voordat uw computer de schijf kan decoderen en Windows kan starten.

Hiermee wordt effectief twee-factor-authenticatie aan BitLocker-codering toegevoegd. Wanneer u uw computer start, moet u de USB-sleutel opgeven voordat deze kan worden gedecodeerd. Dit zou vooral handig zijn met een kleine USB-schijf die je bij je draagt ​​op een sleutelhanger.

-GERELATEERDE ARTIKELEN
BitLocker-versleuteling instellen op Windows
Wat is een TPM en waarom heeft Windows nodig voor schijfversleuteling?

Stap één: Schakel BitLocker in( als u dat nog niet gedaan hebt)

Dit vereist uiteraard BitLocker-schijfversleuteling, wat betekent dat het alleen werkt op professionele en zakelijke edities van Windows. Voordat u een van de onderstaande stappen kunt volgen, moet u de BitLocker-codering op uw systeemstation inschakelen via het Configuratiescherm.

instagram viewer

Als u uit de weg gaat om BitLocker op een pc in te schakelen zonder een TPM, kunt u ervoor kiezen om een ​​USB-opstartsleutel te maken als onderdeel van het instellingsproces. Dit wordt gebruikt in plaats van de TPM.De onderstaande stappen zijn alleen nodig bij het inschakelen van BitLocker op computers met TPM's, die de meeste moderne computers hebben.

Als u een startversie van Windows hebt, kunt u BitLocker niet gebruiken. Mogelijk hebt u in plaats daarvan de apparaatcodering, maar dit werkt anders dan bij BitLocker en u kunt geen opstartsleutel opgeven.

Stap twee: Schakel de opstartcode in de Groepsbeleid-editor

in. Nadat u BitLocker hebt ingeschakeld, moet u de opstartsleutelvereiste inschakelen in het groepsbeleid van Windows. Om de Groepsbeleid-editor te openen, drukt u op Windows + R op uw toetsenbord, typt u "gpedit.msc" in het dialoogvenster Uitvoeren en drukt u op Enter.

Ga naar computerconfiguratie & gt;Beheersjablonen & gt;Windows-componenten & gt;BitLocker-stationsversleuteling & gt;Besturingssysteemstuurprogramma's in het venster Groepsbeleid.

Dubbelklik op de optie "Extra verificatie bij opstarten vragen" in het rechterdeelvenster.

Selecteer hier "Ingeschakeld" bovenaan het venster. Klik vervolgens op het vakje onder "TPM-opstartsleutel configureren" en selecteer de optie "Opstartsleutel vereisen met TPM".Klik op "OK" om uw wijzigingen op te slaan.

Stap drie: Een opstartsleutel voor uw drive configureren

U kunt nu de opdracht manage-bde gebruiken om een ​​USB-station voor uw met BitLocker versleutelde drive te configureren.

Plaats eerst een USB-station in uw computer. Let op de stationsaanduiding van de USB-drive-D: in de onderstaande schermafbeelding. Windows slaat een klein. bek-bestand op de drive op, en zo wordt het uw opstartsleutel.

Start vervolgens een opdrachtpromptvenster als beheerder. Klik op Windows 10 of 8 met de rechtermuisknop op de knop Start en selecteer "Opdrachtprompt( Beheerder)".Zoek in Windows 7 de sneltoets "Opdrachtprompt" in het menu Start, klik er met de rechtermuisknop op en selecteer "Uitvoeren als beheerder"

Voer de volgende opdracht uit. De onderstaande opdracht werkt op uw C: -station, dus als u een opstartsleutel voor een ander station wilt, voert u de stationsletter in in plaats van c:.U moet ook de stationsletter invoeren van het aangesloten USB-station dat u wilt gebruiken als opstartsleutel in plaats van x:.

manage-bde -protectors -add c: -TPMAndStartupKey x:

De sleutel wordt als een verborgen bestand met de. bek-bestandsextensie op de USB-drive opgeslagen. Je kunt het zien als je verborgen bestanden toont.

U wordt gevraagd om de USB-schijf te plaatsen de volgende keer dat u uw computer opstart. Wees voorzichtig met de sleutel: iemand die de sleutel van je USB-station kopieert, kan die kopie gebruiken om je BitLocker-gecodeerde schijf te ontgrendelen.

Om te controleren of de TPMAndStartupKey-protector correct is toegevoegd, kunt u de volgende opdracht uitvoeren:

manage-bde -status

( de sleutelbeschermer "Numeriek wachtwoord" die hier wordt weergegeven, is uw herstelsleutel.)

De opstarttoets verwijderen Eis

Als u van gedachten verandert en de opstartcode later niet meer nodig wilt hebben, kunt u deze wijziging ongedaan maken. Ga eerst terug naar de Groepsbeleid-editor en verander de optie terug naar "Allow Startup Key With TPM".U kunt de optie "Opstartsleutel vereisen met TPM" niet verlaten of Windows staat niet toe dat u de opstarttoepassing van de drive verwijdert.

Open vervolgens een opdrachtpromptvenster als beheerder en voer de volgende opdracht uit( opnieuw, waarbij c wordt vervangen: als u een ander station gebruikt):

manage-bde -protectors -add c: -TPM

Dit vervangt de "TPMandStartupKey"Eis met een" TPM "vereiste, het wissen van de PIN.Uw BitLocker-schijf wordt automatisch ontgrendeld via de TPM van uw computer tijdens het opstarten.

Voer de statusopdracht nogmaals uit om te controleren of dit is voltooid:

manage-bde -status c:

Probeer eerst uw computer opnieuw op te starten. Als alles goed werkt en uw computer geen USB-drive nodig heeft om op te starten, kunt u de schijf formatteren of het BEK-bestand verwijderen. Je kunt het ook gewoon op je schijf laten staan ​​- dat bestand zal eigenlijk niets meer doen.

Als u de opstartsleutel verliest of het. bek-bestand van de schijf verwijdert, moet u de BitLocker-herstelcode voor uw systeemstation opgeven. U had ergens veilig moeten opslaan wanneer u BitLocker had ingeschakeld voor uw systeemstation.

beeldcredits: Tony Austin / Flickr