Uporaba ključa USB za odklepanje računalnika s šifriranjem BitLocker
Omogoči šifriranje BitLocker in Windows bo samodejno odklenil vaš pogon vsakič, ko boste zagnali računalnik s pomočjo TPM, ki je vgrajena v večini sodobnih računalnikov. Vendar pa lahko nastavite kateri koli pomnilniški ključ USB kot »zagonski ključ«, ki mora biti ob zagonu računalnika pred dešifriranjem pogona in zagonom sistema Windows.
To šifriranje BitLocker dejansko doda preverjanje pristnosti z dvema faktorjema. Vsakič, ko zaženete računalnik, boste morali pred začetkom dešifriranja priskrbeti ključ USB. To bi bilo še posebej uporabno z majhnim USB pogonom, ki ga nosite s seboj na keychainu.
Prvi korak: omogočite BitLocker (če še niste)
To seveda zahteva šifriranje pogona BitLocker, kar pomeni, da deluje le v izdajah Professional in Enterprise za Windows. Preden lahko sledite kateremu od spodnjih korakov, morate v nadzorni plošči omogočiti šifriranje BitLocker na sistemskem pogonu.
Če se izklopite in omogočite BitLocker v računalniku brez TPM-ja, lahko v postopku namestitve ustvarite zagonski ključ USB. To bo uporabljeno namesto TPM. Spodnji koraki so potrebni samo, če omogočite BitLocker v računalnikih s TPM, ki jih ima večina sodobnih računalnikov.
Če imate domačo različico sistema Windows, ne boste mogli uporabljati BitLocker. Namesto tega lahko uporabljate funkcijo šifriranja naprav, vendar to deluje drugače kot BitLocker in vam ne omogoča zagonskega ključa.
Drugi korak: omogočite zagonski ključ v urejevalniku pravilnika skupine
Ko omogočite BitLocker, morate v pravilniku skupine Windows omogočiti zahtevo za zagonski ključ. Če želite odpreti urejevalnik pravilnika skupine, pritisnite tipko Windows + R na tipkovnici, v pogovorno okno Zaženi vnesite »gpedit.msc« in pritisnite Enter.
Pojdi na konfiguracijo računalnika> Skrbniške predloge> Komponente Windows> Šifriranje pogona BitLocker> Pogoni operacijskih sistemov v oknu pravilnika skupine.
Dvokliknite možnost »Zahtevaj dodatno preverjanje pristnosti ob zagonu« v desnem podoknu.
Na vrhu okna izberite »Omogočeno«. Nato kliknite polje v razdelku »Konfiguriraj zagonski ključ TPM« in izberite možnost »Zahtevaj zagonski ključ s TPM«. Kliknite »V redu«, da shranite spremembe.
Tretji korak: Konfigurirajte zagonski ključ za svoj pogon
Zdaj lahko uporabite manage-bde
ukaz za konfiguriranje pogona USB za pogon, šifriran z BitLockerjem.
Najprej v računalnik vstavite pogon USB. Upoštevajte črko pogona USB-D: na spodnji sliki zaslona. Windows bo shranil majhno datoteko .bek na pogon in tako bo postal vaš zagonski ključ.
Nato zaženite okno ukaznega poziva kot skrbnik. V operacijskem sistemu Windows 10 ali 8 z desno tipko miške kliknite gumb Start in izberite »Ukazni poziv (Admin)«. V sistemu Windows 7 poiščite bližnjico »Ukazni poziv« v meniju »Start«, jo kliknite z desno tipko miške in izberite »Zaženi kot skrbnik«
Zaženite naslednji ukaz. Spodnji ukaz deluje na pogonu C: če želite zahtevati zagonski ključ za drug pogon, vnesite njegovo črko pogona. c:
. Poleg tega morate vnesti črko pogona povezanega pogona USB, ki ga želite uporabiti kot zagonski ključ x:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Ključ bo shranjen na pogon USB kot skrita datoteka s pripono datoteke .bek. To lahko vidite, če prikažete skrite datoteke.
Pri naslednjem zagonu računalnika boste morali vstaviti pogon USB. Bodite previdni pri ključu - oseba, ki kopira ključ iz vašega pogona USB, lahko uporabi to kopijo za odklepanje pogona, ki ga šifrira BitLocker.
Če želite še enkrat preveriti, ali je zaščita TPMAndStartupKey pravilno dodana, lahko zaženete naslednji ukaz:
upravljanje-bde -status
(Tukaj je prikazana zaščita ključa »Številčno geslo« je vaš ključ za obnovitev.)
Kako odstraniti zahtevo za zagonski ključ
Če si premislite in želite prenehati zahtevati zagonski ključ kasneje, lahko to spremembo razveljavite. Najprej se vrnite v urejevalnik pravilnika skupine in spremenite možnost nazaj na »Dovoli zagonski ključ s TPM«. Možnost, ki je nastavljena na »Zahtevaj zagonski ključ s tehnologijo TPM«, ne morete pustiti ali pa vam Windows ne dovoli odstraniti zahteve za zagonski ključ iz pogona.
Nato odprite okno ukaznega poziva kot skrbnik in zaženite naslednji ukaz (spet nadomešča c:
če uporabljate drug pogon):
manage-bde -protectors -add c: -TPM
To bo zahtevo za "TPMandStartupKey" nadomestilo z zahtevo "TPM", pri čemer bo izbrisana koda PIN. Vaš pogon BitLocker se bo samodejno odklenil prek TPM računalnika, ko boste zagnali računalnik.
Če želite preveriti, ali se je to uspešno zaključilo, znova zaženite ukaz za stanje:
upravljanje-bde -statistika c:
Najprej poskusite znova zagnati računalnik. Če vse deluje pravilno in vaš računalnik ne zahteva pogona USB, lahko formatirate disk ali pa samo izbrišete datoteko BEK. Prav tako ga lahko pustite na vašem disku - ta datoteka ne bo več naredila ničesar.
Če izgubite zagonski ključ ali izbrišete datoteko .bek iz pogona, boste morali vnesti kodo za obnovitev BitLocker za vaš sistemski pogon. Ko ste omogočili BitLocker za sistemski pogon, bi morali shraniti nekje varno.
Zasluge za slike: Tony Austin / Flickr