USB-kulcs használata a BitLocker-titkosított számítógép feloldásához
Engedélyezze a BitLocker titkosítást, és a Windows automatikusan feloldja a meghajtót minden alkalommal, amikor a számítógépet a legtöbb modern számítógépbe épített TPM használatával indítja. De bármilyen USB flash meghajtót beállíthat „indítási kulcsként”, amelyet a rendszerindítás előtt kell jelennie, mielőtt a számítógép dekódolhatja a meghajtót és elindíthatja a Windows rendszert.
Ez hatékonyan hozzáadja a BitLocker titkosításhoz két faktorú hitelesítést. Amikor elindítja a számítógépet, akkor meg kell adnia az USB-kulcsot, mielőtt visszafejtené. Ez különösen hasznos egy kis USB-meghajtón, amelyet egy kulcstartóhoz hordoz.
Első lépés: BitLocker engedélyezése (ha már nem)
Ez nyilvánvalóan BitLocker meghajtó titkosítást igényel, ami azt jelenti, hogy csak a Windows professzionális és vállalati kiadásaiban működik. Mielőtt az alábbi lépéseket követné, engedélyeznie kell a BitLocker titkosítást a rendszermeghajtón a Vezérlőpultról.
Ha kihagyja a módját, hogy engedélyezze a BitLocker-t egy TPM nélküli számítógépen, úgy dönthet úgy, hogy a telepítési folyamat részeként létrehoz egy USB indítási kulcsot. Ezt a TPM helyett fogja használni. Az alábbi lépések csak akkor szükségesek, ha engedélyezzük a BitLockert TPM-ekkel rendelkező számítógépeken, amelyeknek a legtöbb modern számítógépe van.
Ha a Windows otthoni verziója van, akkor nem fogja tudni használni a BitLockert. Lehet, hogy az eszköz titkosítási funkciója van, de ez másképp működik, mint a BitLocker, és nem teszi lehetővé az indítási kulcs létrehozását.
Második lépés: Engedélyezze az indítási kulcsot a csoportházirend-szerkesztőben
Miután engedélyezte a BitLocker programot, engedélyeznie kell az indítási kulcs követelményét a Windows csoportszabályzatában. A csoportházirend-szerkesztő megnyitásához nyomja meg a billentyűzeten a Windows + R billentyűt, írja be a „gpedit.msc” parancsot a Futtatás párbeszédablakba, majd nyomja meg az Entert.
Menjen a számítógép konfigurációjához> Felügyeleti sablonok> Windows összetevők> BitLocker meghajtó titkosítás> Operációs rendszer meghajtók a csoportházirend ablakban.
A jobb oldali ablaktáblában kattintson duplán a „További hitelesítés indítása az indításkor” lehetőségre.
Itt az ablak tetején válassza az „Engedélyezve” lehetőséget. Ezután kattintson a "TPM indítási kulcs konfigurálása" mezőbe, majd válassza a "Startup Key with TPM" opciót. A módosítások mentéséhez kattintson az „OK” gombra.
Harmadik lépés: A meghajtó indítási kulcsának beállítása
Most már használhatja a kezelése-BDE parancs az USB-meghajtó konfigurálásához a BitLocker-titkosított meghajtóhoz.
Először helyezzen be egy USB-meghajtót a számítógépbe. Vegye figyelembe az USB-meghajtó-D meghajtó betűjelét: az alábbi képernyőképben. A Windows egy kis .bek fájlt ment el a meghajtóba, és ez lesz az indítási kulcs.
Ezután indítsa el a Parancssor ablakot rendszergazdaként. Windows 10 vagy 8 esetén kattintson a jobb gombbal a Start gombra, és válassza a „Parancssor (Admin)” lehetőséget. Windows 7 rendszeren keresse meg a "Command Prompt" parancsikonot a Start menüben, kattintson rá jobb gombbal, és válassza a "Futtatás rendszergazdaként" parancsot
Futtassa a következő parancsot. Az alábbi parancs a C: meghajtón működik, így ha egy másik meghajtó indítási kulcsát szeretné, írja be a meghajtó betűjelét a helyett c: . Meg kell adnia a csatlakoztatott USB-meghajtó betűjelét is, amelyet a rendszerindító kulcsként szeretne használni x: .
-bde -protectors -add c: -TPMAndStartupKey x:
A kulcs elmentésre kerül az USB meghajtóra, mint a .bek fájl kiterjesztésű rejtett fájl. Láthatjuk, ha rejtett fájlokat mutat.
Megkérjük, hogy helyezze be az USB-meghajtót a számítógép következő indításakor. Legyen óvatos a kulcs-val, aki átmásolja a kulcsot az USB-meghajtóról, és a másolat segítségével kinyithatja a BitLocker-titkosított meghajtót.
A TPMAndStartupKey védő helyes hozzáadásának ellenőrzéséhez a következő parancsot futtathatja:
manager-bde -status
(A „Numerikus jelszó” kulcsvédő itt jelenik meg a helyreállítási kulcs.)
Hogyan lehet eltávolítani az indítási kulcsfontosságú követelményt
Ha meggondolja magát, és később szeretné leállítani az indítási kulcsot, visszavonhatja ezt a változást. Először lépjen vissza a csoportházirend-szerkesztőre, és állítsa vissza az opciót az „Indításkulcs engedélyezése TPM-el” lehetőségre. Nem hagyhatja el a beállítást a „Startup Key TPU-val TPM-re” vagy a Windows nem engedi, hogy eltávolítsa az indítási kulcs követelményét a meghajtóról.
Ezután nyissa meg a Parancssor ablakot rendszergazdaként, és futtassa a következő parancsot (ismét cserélje ki c: ha más meghajtót használ):
manager-bde -protectors -add c: -TPM
Ez helyettesíti a „TPMandStartupKey” követelményt a „TPM” követelménygel, és törli a PIN-kódot. A BitLocker meghajtó automatikusan feloldódik a számítógép TPM-jén, amikor elindul.
Annak ellenőrzéséhez, hogy ez sikeresen befejeződött, futtassa újra az állapotparancsot:
manag-bde -status c:
Először próbálja újraindítani a számítógépet. Ha minden jól működik, és a számítógép nem igényli az USB-meghajtó indítását, akkor szabadon formázhatja a meghajtót, vagy csak törölheti a BEK fájlt. Azt is csak hagyja a meghajtón - az a fájl nem fog semmit sem csinálni.
Ha elveszíti az indítási kulcsot, vagy törölni szeretné a .bek fájlt a meghajtóról, a rendszer meghajtójának a BitLocker helyreállítási kódját kell megadnia. A BitLocker rendszergazdai engedélyezéséhez valahol biztonságosnak kellett volna lennie.
Képhitel: Tony Austin / Flickr
