30Aug
Włącz szyfrowanie BitLocker, a system Windows automatycznie odblokuje dysk za każdym razem, gdy uruchomisz komputer za pomocą modułu TPM wbudowanego w najnowocześniejsze komputery. Ale można ustawić dowolny dysk flash USB jako "klucz startowy", który musi być obecny podczas rozruchu, zanim komputer może odszyfrować dysk i uruchomić system Windows.
Skutecznie dodaje uwierzytelnianie dwuskładnikowe do szyfrowania BitLocker. Zawsze, gdy uruchamiasz komputer, musisz podać klucz USB, zanim będzie on odszyfrowany. Byłoby to szczególnie przydatne w przypadku małego napędu USB, który nosisz ze sobą na pęku kluczy.
Krok 1: Włącz funkcję BitLocker( jeśli jeszcze nie)
To oczywiście wymaga szyfrowania dysków funkcją BitLocker, co oznacza, że działa tylko w wersjach Professional i Enterprise systemu Windows. Przed wykonaniem dowolnego z poniższych kroków należy włączyć szyfrowanie BitLocker na dysku systemowym z poziomu Panelu sterowania.
Jeśli zrobisz wszystko, aby włączyć funkcję BitLocker na komputerze bez modułu TPM, możesz wybrać utworzenie klucza startowego USB w ramach procesu instalacji. To będzie używane zamiast TPM.Poniższe kroki są konieczne tylko przy włączaniu funkcji BitLocker na komputerach z modułem TPM, który ma większość współczesnych komputerów.
Jeśli masz domową wersję systemu Windows, nie będziesz mógł używać funkcji BitLocker. Zamiast tego możesz mieć funkcję szyfrowania urządzenia, ale działa ona inaczej niż funkcja BitLocker i nie pozwala na podanie klucza uruchamiania.
Krok 2: Włącz klucz uruchomienia w Edytorze zasad grupy
Po włączeniu funkcji BitLocker należy włączyć wymagania dotyczące klucza uruchamiania w zasadach grupy Windows. Aby otworzyć Edytor zasad grupy, naciśnij klawisze Windows + R na klawiaturze, wpisz "gpedit.msc" w oknie dialogowym Uruchom i naciśnij Enter.
Przejdź do konfiguracji komputera & gt;Szablony administracyjne & gt;Windows Components & gt;Szyfrowanie dysków funkcją BitLocker & gt;Dyski systemu operacyjnego w oknie Zasady grupy.
Kliknij dwukrotnie opcję "Wymagaj dodatkowego uwierzytelnienia przy uruchomieniu" w prawym panelu.
Wybierz "Włączone" w górnej części okna. Następnie kliknij pole "Konfiguruj klucz startowy TPM" i wybierz opcję "Wymagaj klucza startowego z TPM".Kliknij "OK", aby zapisać zmiany.
Krok trzeci: skonfiguruj klucz uruchomienia dla dysku
Teraz możesz użyć polecenia manage-bde, aby skonfigurować napęd USB dla dysku zaszyfrowanego funkcją BitLocker.
Najpierw włóż dysk USB do komputera. Zwróć uwagę na literę napędu USB-D: na zrzucie ekranu poniżej. Windows zapisze mały plik. bek na dysku i tak stanie się twoim kluczem startowym.
Następnie uruchom okno wiersza polecenia jako Administrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz "Command Prompt( Admin)".W Windows 7 znajdź skrót "Wiersz polecenia" w menu Start, kliknij go prawym przyciskiem myszy i wybierz "Uruchom jako administrator"
Uruchom następującą komendę.Poniższe polecenie działa na twoim dysku C: , więc jeśli chcesz wymagać klucza uruchamiania dla innego dysku, wpisz jego literę zamiast c:.Musisz również wpisać literę napędu podłączonego dysku USB, który chcesz użyć jako klucza uruchamiania zamiast x:.
manage-bde -protectors -add c: -TPMAndStartupKey x: 
Klucz zostanie zapisany na dysku USB jako ukryty plik z rozszerzeniem. bek. Możesz go zobaczyć, jeśli wyświetlasz ukryte pliki.
Zostaniesz poproszony o włożenie dysku USB przy następnym uruchomieniu komputera. Uważaj na klucz - ktoś, kto kopiuje klucz z dysku USB, może użyć tej kopii, aby odblokować dysk zaszyfrowany funkcją BitLocker.
Aby dwukrotnie sprawdzić, czy zabezpieczenie TPMAndStartupKey zostało poprawnie dodane, możesz uruchomić następującą komendę:
manage-bde -status( Tutaj pokazany klucz zabezpieczający "Hasło numeryczne" to klucz odzyskiwania).
Jak usunąć podstawowe wymagania dotyczące uruchomienia
Jeśli zmienisz zdanie i nie chcesz później wymagać klucza uruchamiania, możesz cofnąć tę zmianę.Najpierw wróć do edytora zasad grupy i zmień opcję z powrotem na "Zezwalaj na klucz startowy z TPM".Nie można pozostawić opcji ustawionej na "Wymagaj klucza startowego z TPM" lub system Windows nie pozwoli na usunięcie wymogu uruchomienia klucza z dysku.
Następnie otwórz okno wiersza polecenia jako Administrator i uruchom następujące polecenie( ponownie, zastępując c: jeśli używasz innego dysku):
manage-bde -protectors -add c: -TPMTo zastąpi "TPMandStartupKey"Wymaganie z wymaganiem" TPM ", usuwając kod PIN.Napęd BitLocker zostanie automatycznie odblokowany za pomocą modułu TPM komputera po uruchomieniu.
Aby sprawdzić, czy to się udało, ponownie uruchom komendę statusu:
zarządzaj-bde -status c: 
Najpierw spróbuj ponownie uruchomić komputer. Jeśli wszystko działa poprawnie, a twój komputer nie wymaga rozruchu dysku USB, możesz sformatować dysk lub po prostu usunąć plik BEK.Możesz też po prostu zostawić go na dysku - plik ten nie będzie już więcej robił.
Jeśli zgubisz klucz uruchomienia lub usuniesz plik. bek z napędu, musisz podać kod odzyskiwania funkcji BitLocker dla dysku systemowego. Powinieneś był bezpiecznie zapisać, gdy włączysz funkcję BitLocker dla dysku systemowego.
Image Credit: Tony Austin / Flickr