Slik bruker du BitLocker uten en pålitelig plattformmodul (TPM)

BitLockers fulldisk-kryptering krever normalt en datamaskin med en Trusted Platform Module (TPM). Prøv å aktivere BitLocker på en PC uten en TPM, og du får beskjed om at administratoren må angi et systempolitisk alternativ.

BitLocker er bare tilgjengelig på profesjonelle, Enterprise og Education utgaver av Windows. Den er også inkludert i Windows 7 Ultimate, men er ikke tilgjengelig på noen hjemmeversjoner av Windows.

Hvorfor krever BitLocker en TPM?

BitLocker krever normalt en pålitelig plattformmodul, eller TPM, på datamaskinens hovedkort. Denne brikken genererer og lagrer de faktiske krypteringsnøklene. Den kan automatisk låse opp PC-stasjonen når den starter, slik at du kan logge inn bare ved å skrive inn Windows-passordet ditt. Det er enkelt, men TPM gjør det harde arbeidet under hetten.

Hvis noen tamper med PCen eller fjerner stasjonen fra datamaskinen og forsøker å dekryptere den, kan den ikke nås uten nøkkelen lagret i TPM. TPM-en fungerer ikke hvis den er flyttet til en annen PCs hovedkort, heller ikke.

Du kan kjøpe og legge til en TPM-brikke til noen hovedkort, men hvis hovedkortet ditt (eller bærbar PC) ikke støtter det, kan du bruke BitLocker uten en TPM. Det er mindre sikkert, men bedre enn ingenting.

Slik bruker du BitLocker uten en TPM

Du kan omgå denne begrensningen gjennom en endring i gruppepolicy. Hvis PCen er sluttet til et bedrifts- eller skoledom, kan du ikke endre innstillingene for gruppepolicy selv. Gruppepolitikken er konfigurert sentralt av nettverksadministratoren.

Hvis du bare gjør dette på din egen PC, og det ikke er med i et domene, kan du bruke lokal gruppepolicyredigerer til å endre innstillingen for din egen PC.

For å åpne lokal gruppepolicyredigerer, trykk Windows + R på tastaturet, skriv "gpedit.msc" i dialogboksen Kjør, og trykk Enter.

Naviger til lokal datapolicy> Datamaskinkonfigurasjon> Administrative maler> Windows-komponenter> BitLocker-stasjonskryptering> Operativsystemdrivere i venstre rute.

Dobbeltklikk på alternativet "Krev ekstra godkjenning ved oppstart" i høyre rute.

Velg "Aktivert" øverst i vinduet, og kontroller at "Tillat BitLocker uten kompatibel TPM (krever et passord eller en oppstartsknapp på en USB-flash-stasjon)" er merket av her.

Klikk på "OK" for å lagre endringene dine. Du kan nå lukke vinduet for gruppepolicyredigeringsprogram. Endringen har effekt umiddelbart - du trenger ikke engang å starte om igjen.

Slik setter du opp BitLocker

Du kan nå aktivere, konfigurere og bruke BitLocker normalt. Gå til Kontrollpanel> System og sikkerhet> BitLocker-stasjonskryptering og klikk på "Slå på BitLocker" for å aktivere det for en stasjon.

Du blir først spurt hvordan du vil låse opp stasjonen når PCen starter opp. Hvis PC-en din hadde en TPM, kan du få datamaskinen til automatisk å låse opp stasjonen eller bruke en kort PIN-kode som krever at TPM er tilstede.

Fordi du ikke har en TPM, må du velge å enten skrive inn et passord hver gang datamaskinen starter, eller gi en USB-flash-stasjon. Hvis du gir en USB-minnepinne her, trenger du den flash-stasjonen som er koblet til PCen din hver gang du starter opp PCen din for å få tilgang til filene.

Fortsett gjennom BitLocker-oppsettprosessen for å aktivere BitLocker-stasjonskryptering, lagre en gjenopprettingsnøkkel og kryptere stasjonen. Resten av prosessen er den samme som den vanlige BitLocker installasjonsprosessen.

Når datamaskinen starter, må du enten skrive inn passordet eller sette inn USB-flash-stasjonen du oppgav. Hvis du ikke kan oppgi passordet eller USB-stasjonen, vil BitLocker ikke kunne dekryptere stasjonen, og du vil ikke kunne starte opp i Windows-systemet og få tilgang til filene dine.