Slik bruker du en USB-nøkkel for å låse opp en BitLocker-kryptert PC
Aktiver BitLocker-kryptering, og Windows vil automatisk låse opp stasjonen hver gang du starter datamaskinen din ved hjelp av TPM som er innebygd i de fleste moderne datamaskiner. Men du kan sette opp en hvilken som helst USB-minnepinne som en "oppstartskode" som må være tilstede ved oppstart før datamaskinen kan dekryptere stasjonen og starte Windows.
Dette legger effektivt til tofaktorautentisering til BitLocker-kryptering. Når du starter datamaskinen, må du gi USB-nøkkelen før den blir dekryptert. Dette ville være spesielt nyttig med en liten USB-stasjon du bærer med deg på en nøkkelring.
Trinn ett: Aktiver BitLocker (Hvis du ikke allerede har det)
Dette krever åpenbart BitLocker-stasjonskryptering, noe som betyr at den bare fungerer på profesjonelle og Enterprise-utgaver av Windows. Før du kan følge noen av trinnene nedenfor, må du aktivere BitLocker-kryptering på systemstasjonen fra kontrollpanelet.
Hvis du går ut av veien for å aktivere BitLocker på en PC uten en TPM, kan du velge å opprette en USB-oppstartskode som en del av oppsettsprosessen. Dette vil bli brukt i stedet for TPM. Nedenfor trinnene er bare nødvendige når du aktiverer BitLocker på datamaskiner med TPM, som de nyeste datamaskiner har.
Hvis du har en hjemmeversjon av Windows, vil du ikke kunne bruke BitLocker. Du kan ha funksjonen Enhetskryptering i stedet, men dette fungerer annerledes enn BitLocker, og lar deg ikke gi en oppstartsnøkkel.
Trinn to: Aktiver startnøkkelen i gruppepolicyredigerer
Når du har aktivert BitLocker, må du aktivere oppstartskodekravet i Windows gruppepolicy. For å åpne Group Policy Editor, trykk Windows + R på tastaturet, skriv "gpedit.msc" i dialogboksen Kjør, og trykk Enter.
Gå til Computer Configuration> Administrative Maler> Windows-komponenter> BitLocker-stasjonskryptering> Operativsystemdrivere i vinduet Gruppepolicy.
Dobbeltklikk på alternativet "Krev ytterligere godkjenning ved oppstart" i høyre rute.
Velg "Aktivert" øverst i vinduet her. Deretter klikker du på boksen under "Konfigurer TPM-oppstartingsnøkkel" og velg "Krev oppstartsnøkkel med TPM" -alternativet. Klikk på "OK" for å lagre endringene dine.
Trinn tre: Konfigurer en oppstartsnøkkel for stasjonen
Du kan nå bruke administrere-BDE
kommandoen for å konfigurere en USB-stasjon for din BitLocker-krypterte stasjon.
Først sett inn en USB-stasjon i datamaskinen. Merk stasjonsbokstaven på USB-stasjonen-D: i skjermbildet nedenfor. Windows lagrer en liten .bek-fil til stasjonen, og det blir hvordan det blir startnøkkelen.
Deretter starter et kommandopromptvindu som administrator. I Windows 10 eller 8 høyreklikker du Start-knappen og velger "Kommandoprompt (Admin)". I Windows 7 finner du snarveien "Kommandoprompt" i Start-menyen, høyreklikker den og velger "Kjør som administrator"
Kjør følgende kommando. Kommandoen nedenfor fungerer på C-stasjonen din, så hvis du vil kreve en oppstartingsnøkkel for en annen stasjon, skriv inn stasjonsbokstaven i stedet for c:
. Du må også skrive inn stasjonsbokstaven til den tilkoblede USB-stasjonen du vil bruke som oppstartsknapp i stedet for x:
.
administrere-bde-prototyper-add c: -TPMAndStartupKey x:
Nøkkelen vil bli lagret på USB-stasjonen som en skjult fil med .bek filtypenavn. Du kan se det hvis du viser skjulte filer.
Du blir bedt om å sette inn USB-stasjonen neste gang du starter datamaskinen. Vær forsiktig med nøkkelen-noen som kopierer nøkkelen fra USB-stasjonen, kan bruke kopien til å låse opp din BitLocker-krypterte stasjon.
For å dobbeltsjekke om TPMAndStartupKey-beskyttelsen ble lagt til riktig, kan du kjøre følgende kommando:
manage-bde-status
(Tastaturbeskyttelsen "Numerisk passord" som vises her er gjenopprettingsnøkkelen.)
Slik fjerner du Startup Key Requirement
Hvis du forandrer deg og vil slutte å kreve oppstartstasten senere, kan du angre denne endringen. Først, gå tilbake til konsernpolitikkeditoren og endre alternativet tilbake til "Tillat oppstartsnøkkel med TPM". Du kan ikke la alternativet være satt til "Krev oppstartsnøkkel med TPM" eller Windows vil ikke tillate deg å fjerne startkravkravet fra stasjonen.
Deretter åpner du et kommandopromptvindu som administrator og kjører følgende kommando (igjen, erstatter c:
hvis du bruker en annen stasjon):
administrere-bde-protektorer -tilføy c: -TPM
Dette vil erstatte "TPMandStartupKey" kravet med et "TPM" krav, sletting av PIN-koden. Din BitLocker-stasjon vil automatisk låse opp via datamaskinens TPM når du starter opp.
For å kontrollere at dette er fullført, kjør du statuskommandoen igjen:
manage-bde-status c:
Prøv å starte datamaskinen på nytt først. Hvis alt fungerer som det skal, og datamaskinen ikke krever at USB-stasjonen starter, kan du formatere stasjonen eller bare slette BEK-filen. Du kan også bare legge den på disken din - den filen vil ikke faktisk gjøre noe lenger.
Hvis du mister oppstartstasten eller sletter .bek-filen fra stasjonen, må du oppgi BitLocker-gjenopprettingskoden for systemstasjonen. Du burde ha lagret et sted trygt når du aktiverte BitLocker for systemstasjonen.
Bilde Kreditt: Tony Austin / Flickr