Kaip naudoti USB raktą, norint atrakinti „BitLocker“ šifruotą kompiuterį
Įgalinkite „BitLocker“ šifravimą, o „Windows“ automatiškai atrakins jūsų diską kiekvieną kartą, kai paleisite kompiuterį naudodamiesi TPM, įmontuotu daugelyje modernių kompiuterių. Bet jūs galite nustatyti bet kurį „USB“ atmintinę kaip „paleidimo raktą“, kuris turi būti įkrovos metu, kol kompiuteris negalės iššifruoti jo disko ir paleisti „Windows“.
Tai efektyviai prideda „BitLocker“ šifravimui dviejų faktorių autentifikavimą. Kai tik paleisite kompiuterį, prieš dekoduodami turėsite pateikti USB raktą. Tai būtų ypač naudinga naudojant mažą USB diską, kurį nešiotumėte su raktu.
Pirmas žingsnis: įjunkite „BitLocker“ (jei dar nesate)
Tai, žinoma, reikalauja „BitLocker“ disko šifravimo, o tai reiškia, kad jis veikia tik „Windows“ profesionaliems ir „Enterprise“ leidimams. Prieš atlikdami bet kurį toliau pateiktą veiksmą, turite įjungti „BitLocker“ šifravimą sistemos diske iš valdymo skydelio.
Jei išeisite kelią įjungti „BitLocker“ kompiuteryje, kuriame nėra TPM, galite pasirinkti sukurti USB paleidimo raktą kaip sąrankos proceso dalį. Tai bus naudojama vietoj TPM. Žemiau pateikiami veiksmai yra būtini tik tada, kai įjungiate „BitLocker“ kompiuteriuose su TPM, kurie turi daugelį modernių kompiuterių.
Jei turite „Windows“ namų versiją, negalėsite naudoti „BitLocker“. Vietoj to galite turėti įrenginio šifravimo funkciją, tačiau tai veikia skirtingai nei „BitLocker“ ir neleidžia pateikti paleidimo klavišo.
Antras žingsnis: įjunkite paleidimo raktą grupės politikos redaktoriuje
Įjungę „BitLocker“, „Windows“ grupės politikoje turėsite įgalinti paleidimo raktą. Norėdami atidaryti grupės strategijos redaktorių, klaviatūroje paspauskite „Windows + R“, įveskite „gpedit.msc“ į dialogo langą „Run“ ir paspauskite „Enter“.
Eikite į kompiuterio konfigūraciją> Administravimo šablonai> „Windows“ komponentai> „BitLocker“ disko šifravimas> Operacinės sistemos diskai grupės strategijos lange.
Dukart spustelėkite parinktį „Reikalauti papildomo autentifikavimo paleidimo“ dešinėje srityje.
Čia pasirinkite langą „Įjungta“. Tada spustelėkite laukelį „Konfigūruoti TPM paleidimo raktą“ ir pasirinkite parinktį „Reikalauti paleidimo rakto su TPM“. Spustelėkite „Gerai“, kad išsaugotumėte pakeitimus.
Trečias žingsnis: konfigūruokite savo disko paleidimo raktą
Dabar galite naudoti valdyti-bde
komandą, skirtą konfigūruoti „BitLocker“ šifruotam diskui skirtą USB diską.
Pirmiausia į kompiuterį įdėkite USB diską. Atkreipkite dėmesį į USB disko disko raidę: žemiau esančiame paveikslėlyje. „Windows“ į diską įrašys mažą .bek failą ir tai taps jūsų paleidimo raktu.
Tada paleiskite komandų eilutės langą kaip administratorių. „Windows 10“ arba „8“ dešiniuoju pelės mygtuku spustelėkite mygtuką Pradėti ir pasirinkite „Command Prompt“ (administratorius). „Windows 7“ meniu „Pradėti“ suraskite „Command Prompt“ nuorodą, spustelėkite jį dešiniuoju pelės klavišu ir pasirinkite „Run as Administrator“
Paleiskite šią komandą. Toliau pateikta komanda veikia jūsų C: diske, todėl, jei norite reikalauti paleisti raktą kitam diskui, įveskite jo disko raidę vietoj c:
. Taip pat turėsite įvesti prijungto USB įrenginio, kurį norite naudoti kaip paleisties raktą, disko raidę, o ne x:
.
manag-bde -protektoriai -add c: -TPMAndStartupKey x:
Raktas bus įrašytas į USB diską kaip paslėptas failas su .bek failo plėtiniu. Jį galite pamatyti, jei rodote paslėptus failus.
Kitą kartą paleidus kompiuterį, bus paprašyta įdėti USB diską. Būkite atsargūs su raktu, kuris kopijuoja raktą iš USB įrenginio, gali naudoti tą kopiją, kad atrakintumėte „BitLocker“ užšifruotą diską.
Norėdami du kartus patikrinti, ar TPMAndStartupKey gynėjas buvo tinkamai pridėtas, galite paleisti šią komandą:
valdyti-bde -status
(Čia yra rodomas raktinis užrašas „Skaitmeninis slaptažodis“ yra atkūrimo raktas.)
Kaip pašalinti paleidimo raktą
Jei pakeisite savo nuomonę ir norite sustabdyti paleidimo raktą vėliau, galite atšaukti šį pakeitimą. Pirma, grįžkite į grupės strategijos redaktorių ir pakeiskite parinktį į „Leisti paleidimo raktą su TPM“. Negalite palikti parinkties „Reikalauti paleidimo rakto su TPM“ arba „Windows“ neleis jums pašalinti paleidimo raktų reikalavimo iš disko.
Tada atidarykite komandų eilutės langą kaip administratorių ir paleiskite šią komandą (dar kartą pakeiskite c:
jei naudojate kitą diską):
manag-bde -protektoriai -add c: -TPM
Tai pakeis „TPMandStartupKey“ reikalavimą „TPM“ reikalavimu, ištrindamas PIN kodą. Jūsų „BitLocker“ diskas bus automatiškai atrakintas per kompiuterio TPM, kai paleisite.
Jei norite patikrinti, ar tai sėkmingai baigta, paleiskite būsenos komandą dar kartą:
manag-bde -status c:
Pabandykite iš naujo paleisti kompiuterį. Jei viskas veikia tinkamai ir jūsų kompiuteryje nereikia USB disko paleisti, galite laisvai formatuoti diską arba tiesiog ištrinti BEK failą. Taip pat galite tiesiog palikti ją savo diske, kad failas iš tikrųjų nieko nedarys.
Jei prarasite paleidimo raktą arba ištrinsite .bek failą iš savo įrenginio, turėsite pateikti sistemos diskų įrenginio atkūrimo kodą BitLocker. Kai įjungėte „BitLocker“ sistemai, turėtumėte išsaugoti kažkur saugiai.
Vaizdo kreditas: Tony Austin / Flickr