Kako koristiti USB ključ za otključavanje BitLocker-šifriranog računala
Omogućite BitLocker šifriranje, a Windows će automatski otključati vaš disk svaki put kada pokrenete računalo pomoću TPM-a ugrađenog u većinu modernih računala. No, USB memorijski pogon možete postaviti kao "ključ za pokretanje" koji mora biti prisutan prilikom pokretanja računala prije nego što računalo može dekriptirati njegov pogon i pokrenuti sustav Windows.
To učinkovito dodaje autentifikaciju s dva faktora u BitLocker šifriranje. Svaki put kada pokrenete računalo, morat ćete unijeti USB ključ prije nego što se dešifrira. To bi bilo osobito korisno s malim USB pogonom koji nosite sa sobom na privjesku za ključeve.
Prvi korak: omogućite BitLocker (ako već niste)
To očito zahtijeva BitLocker šifriranje pogona, što znači da radi samo na Professional i Enterprise izdanjima sustava Windows. Da biste mogli slijediti bilo koji od sljedećih koraka, na upravljačkoj ploči sustava morate omogućiti BitLocker šifriranje na pogonu sustava.
Ako se odlučite za omogućavanje usluge BitLocker na računalu bez TPM-a, možete odabrati stvaranje ključa za pokretanje USB-a kao dio postupka postavljanja. To će se koristiti umjesto TPM-a. Koraci u nastavku potrebni su samo kada omogućite BitLocker na računalima s TPM-ovima, što ima većina modernih računala.
Ako imate kućnu verziju sustava Windows, nećete moći koristiti BitLocker. Umjesto toga možda imate značajku šifriranja uređaja, ali to radi drugačije od BitLockera i ne dopušta vam da navedete ključ za pokretanje.
Drugi korak: omogućite ključ za pokretanje u uređivaču pravila grupe
Kada omogućite BitLocker, morat ćete omogućiti zahtjev ključa za pokretanje u grupnim pravilima sustava Windows. Da biste otvorili uređivač pravila grupe, pritisnite Windows + R na tipkovnici, upišite “gpedit.msc” u dijaloški okvir Pokreni i pritisnite Enter.
Konfiguracija računala> Administrativni predlošci> Komponente sustava Windows> BitLocker šifriranje pogona> Pogoni operacijskih sustava u prozoru pravila grupe.
Dvokliknite opciju "Zahtijevanje dodatne autentifikacije pri pokretanju" u desnom oknu.
Ovdje odaberite "Omogućeno" na vrhu prozora. Zatim kliknite na okvir pod "Konfiguriraj početni ključ za TPM" i odaberite opciju "Potrebni ključ za pokretanje s TPM-om". Kliknite "OK" da biste spremili promjene.
Treći korak: Konfigurirajte ključ za pokretanje pogona
Sada možete koristiti upravljanje-BDE
naredbu za konfiguriranje USB pogona za pogon koji je šifriran BitLocker.
Najprije umetnite USB pogon u računalo. Zabilježite slovo pogona USB-D: na slici ispod. Windows će spremiti malu .bek datoteku na pogon i tako će postati vaš ključ za pokretanje.
Zatim pokrenite prozor naredbenog retka kao administrator. Na Windows 10 ili 8, desnom tipkom miša kliknite gumb Start i odaberite "Command Prompt (Admin)". U sustavu Windows 7 pronađite prečac "Naredbeni redak" u izborniku Start, kliknite ga desnom tipkom miša i odaberite "Pokreni kao administrator"
Izvedite sljedeću naredbu. U nastavku naredba radi na vašem C: pogonu, pa ako želite zahtijevati ključ za pokretanje za drugi pogon, unesite njegovo slovo pogona umjesto c:
. Morat ćete unijeti i oznaku pogona povezanog USB pogona koju želite koristiti kao ključ za pokretanje umjesto x:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Ključ će biti spremljen na USB disk kao skrivena datoteka s nastavkom .bek. Možete ga vidjeti ako prikazujete skrivene datoteke.
Od vas će se tražiti da umetnete USB pogon sljedeći put kada pokrenete računalo. Budite oprezni s ključem - netko tko kopira ključ s vašeg USB pogona može koristiti tu kopiju za otključavanje pogona šifriranog BitLocker-om.
Da biste provjerili je li zaštitnik TPMAndStartupKey ispravno dodan, možete pokrenuti sljedeću naredbu:
upravljanje-bde -status
(Ovdje je prikazana zaštita ključa "Numerička lozinka" ključ za oporavak.)
Kako ukloniti preduvjet ključa za pokretanje
Ako se predomislite i želite kasnije prestati zahtijevati ključ za pokretanje, tu promjenu možete poništiti. Najprije se vratite u uređivač pravila grupe i vratite opciju na „Dopusti ključ za pokretanje s TPM-om“. Ne možete ostaviti opciju postavljenu na "Zahtijevanje ključa za pokretanje s TPM-om" ili vam Windows neće dopustiti uklanjanje zahtjeva ključa za pokretanje s pogona.
Zatim otvorite prozor naredbenog retka kao administrator i pokrenite sljedeću naredbu (opet, zamjenjujući c:
ako upotrebljavate drugi pogon):
manage-bde -protektori -add c: -TPM
To će zamijeniti zahtjev "TPMandStartupKey" zahtjevom "TPM", brisanjem PIN-a. BitLocker pogon automatski će se otključati putem TPM-a vašeg računala kada ga pokrenete.
Da biste provjerili je li uspješno dovršeno, ponovno pokrenite statusnu naredbu:
upravljanje-bde -stanje c:
Najprije pokušajte ponovno pokrenuti računalo. Ako sve radi kako treba, a vaše računalo ne zahtijeva pokretanje USB pogona, slobodno možete formatirati pogon ili jednostavno izbrisati datoteku BEK. Također ga možete ostaviti na svom disku - ta datoteka više neće ništa učiniti.
Ako izgubite ključ za pokretanje ili izbrišete .bek datoteku s pogona, morat ćete unijeti BitLocker kôd za oporavak za vaš sustavni pogon. Trebali ste spremiti negdje sigurno kada ste omogućili BitLocker za svoj sistemski pogon.
Zasluge za sliku: Tony Austin / Flickr