Включите шифрование BitLocker, и Windows будет автоматически разблокировать ваш диск при каждом запуске компьютера с использованием TPM, встроенного в большинство современных компьютеров. Но вы можете настроить любой USB-накопитель как «ключ запуска», который должен присутствовать при загрузке, прежде чем ваш компьютер сможет расшифровать его и запустить Windows.
Это эффективно добавляет двухфакторную аутентификацию к шифрованию BitLocker. Всякий раз, когда вы запускаете компьютер, вам необходимо предоставить USB-ключ, прежде чем он будет расшифрован. Это было бы особенно полезно для небольшого USB-накопителя, который вы носите с собой на связке ключей.
Шаг первый: включите BitLocker (если вы этого еще не сделали)
Это, очевидно, требует шифрования диска BitLocker, что означает, что он работает только в выпусках Windows Professional и Enterprise. Прежде чем вы сможете выполнить любой из следующих шагов, вам необходимо включить шифрование BitLocker на системном диске с панели управления.
Если вы не хотите включать BitLocker на ПК без доверенного платформенного модуля, вы можете создать ключ автозагрузки USB как часть процесса установки. Это будет использоваться вместо TPM. Следующие шаги необходимы только при включении BitLocker на компьютерах с доверенными платформенными модулями, которые есть на большинстве современных компьютеров.
Если у вас есть домашняя версия Windows, вы не сможете использовать BitLocker. Вместо этого вы можете использовать функцию шифрования устройства, но она работает не так, как BitLocker, и не позволяет предоставить ключ запуска.
Шаг второй: включите ключ запуска в редакторе групповой политики
После включения BitLocker необходимо включить требование ключа запуска в групповой политике Windows. Чтобы открыть редактор групповой политики, нажмите Windows + R на клавиатуре, введите «gpedit.msc» в диалоговом окне «Выполнить» и нажмите Enter.
Перейдите в раздел Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы в окне групповой политики.
Дважды щелкните параметр «Требовать дополнительную аутентификацию при запуске» на правой панели.
Выберите «Включено» в верхней части окна здесь. Затем установите флажок «Настроить ключ запуска TPM» и выберите параметр «Требовать ключ запуска с TPM». Нажмите «ОК», чтобы сохранить изменения.
Шаг третий: настройка ключа запуска для вашего диска
Теперь вы можете использовать команду manage-bde
для настройки USB-накопителя для вашего зашифрованного диска BitLocker.
Сначала вставьте USB-накопитель в компьютер. Обратите внимание на букву диска USB-накопителя –D: на снимке экрана ниже. Windows сохранит небольшой файл .bek на диск, и он станет вашим ключом запуска.
Затем запустите окно командной строки от имени администратора. В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (Admin)». В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».
Запустите следующую команду. Приведенная ниже команда работает на вашем диске C :, поэтому, если вам требуется ключ запуска для другого диска, введите его букву вместо c:
. Вам также необходимо ввести букву диска подключенного USB-накопителя, который вы хотите использовать в качестве ключа запуска, вместо x:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Ключ будет сохранен на USB-накопителе в виде скрытого файла с расширением .bek. Вы можете увидеть это, если покажете скрытые файлы.
Вас попросят вставить USB-накопитель при следующей загрузке компьютера. Будьте осторожны с ключом – тот, кто копирует ключ с вашего USB-накопителя, может использовать эту копию для разблокировки вашего зашифрованного диска BitLocker.
Чтобы проверить, правильно ли был добавлен протектор TPMAndStartupKey, вы можете выполнить следующую команду:
manage-bde -status
(Защитная кнопка «Числовой пароль», отображаемая здесь, является вашим ключом восстановления.)
Как удалить требование ключа запуска
Если вы передумали и хотите прекратить запрашивать ключ запуска позже, вы можете отменить это изменение. Сначала вернитесь в редактор групповой политики и измените параметр обратно на «Разрешить ключ запуска с доверенным платформенным модулем». Вы не можете оставить параметр «Требовать ключ запуска с доверенным платформенным модулем», иначе Windows не позволит удалить требование ключа запуска с диска.
Затем откройте окно командной строки от имени администратора и выполните следующую команду (снова заменив c:
, если вы используете другой диск):
manage-bde -protectors -add c: -TPM
Это заменит требование «TPMandStartupKey» на требование «TPM», удалив PIN-код. Ваш диск BitLocker автоматически разблокируется через TPM вашего компьютера при загрузке.
Чтобы убедиться, что это выполнено успешно, снова введите команду status:
manage-bde -status c:
Попробуйте сначала перезагрузить компьютер. Если все работает правильно и ваш компьютер не требует USB-накопителя для загрузки, вы можете отформатировать накопитель или просто удалить файл BEK. Вы также можете просто оставить его на своем диске – этот файл больше ничего не сделает.
Если вы потеряете ключ автозагрузки или удалите файл .bek с диска, вам потребуется предоставить код восстановления BitLocker для вашего системного диска. Вы должны были сохранить в безопасном месте, когда вы включили BitLocker для вашего системного диска.
Изображение предоставлено: Тони Остин/Flickr