Это эффективно добавляет двухфакторную аутентификацию для шифрования BitLocker. Всякий раз, когда вы запускаете свой компьютер, вам необходимо предоставить ключ USB, прежде чем он будет расшифрован. Это было бы особенно полезно с маленьким USB-накопителем, который вы носили с собой на брелка.
Шаг первый: включить BitLocker (если вы еще не сделали этого)
Если вы отключите BitLocker на ПК без TPM, вы можете создать ключ запуска USB как часть процесса настройки. Это будет использоваться вместо TPM. Следующие шаги необходимы только при включении BitLocker на компьютерах с TPM, которые имеются у большинства современных компьютеров.
Если у вас есть домашняя версия Windows, вы не сможете использовать BitLocker. Вместо этого у вас может быть функция шифрования устройства, но это работает не так, как BitLocker, и не позволяет вам предоставить ключ запуска.
Шаг второй: включить ключ запуска в редакторе групповой политики
После того, как вы включили BitLocker, вам необходимо включить ключевое условие запуска в групповой политике Windows. Чтобы открыть редактор групповой политики, нажмите Windows + R на клавиатуре, введите «gpedit.msc» в диалоговом окне «Запуск» и нажмите «Ввод».
Начните с конфигурации компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Операционные системы в окне групповой политики.
Дважды щелкните правой кнопкой мыши параметр «Требовать дополнительную аутентификацию при запуске».
Шаг третий: настройка ключа автозапуска для вашего диска
Теперь вы можете использовать
manage-bde
чтобы настроить USB-накопитель для вашего диска, зашифрованного BitLocker.
Сначала вставьте USB-накопитель в компьютер. Обратите внимание на букву диска USB-диска D: на скриншоте ниже. Windows сохранит небольшой файл.bek на диске, и именно так он станет вашим ключом автозагрузки.
Выполните следующую команду. Команда ниже работает на вашем диске C: поэтому, если вы хотите потребовать ключ запуска для другого диска, введите его букву диска вместо
c:
Вам также потребуется ввести букву диска подключенного USB-накопителя, который вы хотите использовать в качестве ключа запуска, вместо
x:
manage-bde -protectors -add c: -TPMAndStartupKey x:
manage-bde -status
(Здесь отображается защитный ключ «Цифровой пароль», это ваш ключ восстановления.)
Как удалить ключ запуска
Если вы передумаете и хотите перестать требовать ключ автозагрузки позже, вы можете отменить это изменение. Сначала вернитесь к редактору групповой политики и измените параметр на «Разрешить запуск ключа с TPM». Вы не можете оставить параметр «Требовать ключ запуска с помощью TPM», иначе Windows не позволит вам удалить ключ запуска с диска.
Затем откройте окно командной строки в качестве администратора и выполните следующую команду (опять же, заменив
c:
если вы используете другой диск):
manage-bde -protectors -add c: -TPM
Это заменит требование «TPMandStartupKey» требованием «TPM», удалив PIN-код. При загрузке ваш диск BitLocker автоматически разблокируется с помощью TPM вашего компьютера.
manage-bde -status c:
Если вы потеряете ключ автозагрузки или удалите файл.bek с диска, вам необходимо предоставить код восстановления BitLocker для вашего системного диска. Если вы включили BitLocker для вашего системного диска, вы должны были сохранить его в безопасном месте.