30Aug
Ative a criptografia do BitLocker e o Windows desbloqueará automaticamente sua unidade cada vez que você iniciar seu computador usando o TPM incorporado na maioria dos computadores modernos. Mas você pode configurar qualquer unidade flash USB como uma "chave de inicialização" que deve estar presente na inicialização antes que seu computador possa descriptografar sua unidade e iniciar o Windows.
Isso efetivamente adiciona autenticação de dois fatores à criptografia BitLocker. Sempre que você iniciar o seu computador, você precisará fornecer a chave USB antes de ser descriptografado. Isso seria particularmente útil com uma pequena unidade USB que você carrega com você em um chaveiro.
Passo Um: Ativar o BitLocker( Se você ainda não o tiver)
Isso, obviamente, requer a criptografia da unidade BitLocker, o que significa que ele só funciona nas edições Professional e Enterprise do Windows. Antes de seguir qualquer uma das etapas abaixo, você precisará habilitar a criptografia do BitLocker em sua unidade de sistema a partir do Painel de controle.
Se você sair do seu caminho para ativar o BitLocker em um PC sem um TPM, você pode escolher criar uma chave de inicialização USB como parte do processo de configuração. Isso será usado em vez do TPM.As etapas abaixo são necessárias apenas ao habilitar o BitLocker em computadores com TPMs, que os computadores mais modernos possuem.
Se você possui uma versão Home do Windows, não poderá usar o BitLocker. Você pode ter o recurso Device Encryption, em vez disso, mas isso funciona de forma diferente do BitLocker e não permite que você forneça uma chave de inicialização.
Passo dois: habilite a chave de inicialização no Editor de políticas de grupo
Depois de ativar o BitLocker, você precisará habilitar o requisito da chave de inicialização na política de grupo do Windows. Para abrir o Editor de políticas de grupo, pressione Windows + R no seu teclado, digite "gpedit.msc" na caixa de diálogo Executar e pressione Enter.
Cabeça para Configuração do Computador & gt;Modelos administrativos & gt;Componentes do Windows & gt;BitLocker Drive Encryption & gt;Drives do sistema operacional na janela de política de grupo.
Clique duas vezes na opção "Exigir autenticação adicional no início" no painel direito.
Selecione "Ativado" na parte superior da janela aqui. Em seguida, clique na caixa em "Configurar TPM Startup Key" e selecione a opção "Require Startup Key With TPM".Clique em "OK" para salvar suas alterações.
Passo três: Configure uma chave de inicialização para sua unidade
Agora, você pode usar o comando manage-bde para configurar uma unidade USB para sua unidade criptografada BitLocker.
Primeiro, insira uma unidade USB no seu computador. Observe a letra da unidade USB - D: na captura de tela abaixo. O Windows irá salvar um pequeno arquivo. bek na unidade, e é assim que se tornará sua chave de inicialização.
Em seguida, inicie uma janela do prompt de comando como administrador. No Windows 10 ou 8, clique com o botão direito do mouse no botão Iniciar e selecione "Sinal de comando( Admin)".No Windows 7, encontre o atalho "Prompt de comando" no menu Iniciar, clique com o botão direito do mouse e selecione "Executar como administrador"
Execute o seguinte comando. O comando abaixo funciona na sua unidade C: então, se você deseja exigir uma chave de inicialização para outra unidade, insira a letra da unidade em vez de c:.Você também precisará inserir a letra de unidade da unidade USB conectada que deseja usar como uma tecla de inicialização em vez de x:.
manage-bde -protectors -add c: -TPMAndStartupKey x: 
A chave será salva na unidade USB como um arquivo oculto com a extensão de arquivo. bek. Você pode vê-lo se você mostrar arquivos ocultos.
Você será solicitado a inserir a unidade USB na próxima vez que você inicializar seu computador. Tenha cuidado com a chave - alguém que copia a chave da sua unidade USB pode usar essa cópia para desbloquear sua unidade criptografada BitLocker.
Para verificar novamente se o protetor TPMAndStartupKey foi adicionado corretamente, você pode executar o seguinte comando:
gerenciar-bde -status( O protetor de tecla "Senha Numérica" exibido aqui é sua chave de recuperação.)
Como remover o requisito de chave de inicialização
Se você mudar de idéia e quiser parar de exigir a chave de inicialização mais tarde, você pode desfazer essa alteração. Primeiro, volte para o Editor de Política de Grupo e altere a opção novamente para "Permitir Chave de Inicialização com TPM".Você não pode deixar a opção definida como "Exigir chave de inicialização com TPM" ou o Windows não permitirá que você remova o requisito da chave de inicialização da unidade.
Em seguida, abra uma janela do prompt de comando como Administrador e execute o seguinte comando( novamente, substituindo c: se você estiver usando uma unidade diferente):
manage-bde -protectors -add c: -TPMIsso substituirá o "TPMandStartupKey"Requisito com um requisito" TPM ", excluindo o PIN.Sua unidade BitLocker será desbloqueada automaticamente através do TPM do seu computador quando você inicializar.
Para verificar se isso foi concluído com sucesso, execute o comando de status novamente:
manage-bde -status c: 
Tente reiniciar seu computador primeiro. Se tudo funcionar corretamente e seu computador não requer a inicialização da unidade USB, você pode formatar a unidade ou simplesmente excluir o arquivo BEK.Você também pode simplesmente deixá-lo em sua unidade - esse arquivo na verdade não fará mais nada.
Se você perder a chave de inicialização ou excluir o arquivo. bek da unidade, você precisará fornecer o código de recuperação do BitLocker para a unidade do sistema. Você deveria ter salvo em algum lugar seguro quando você ativou o BitLocker para a unidade do seu sistema.
Crédito da imagem: Tony Austin / Flickr