Головна » як » Використання ключа USB для розблокування зашифрованого BitLocker ПК

    Використання ключа USB для розблокування зашифрованого BitLocker ПК

    Увімкніть шифрування BitLocker, і Windows автоматично розблокує диск кожного разу, коли ви запускатимете комп'ютер за допомогою модуля TPM, вбудованого в більшість сучасних комп'ютерів. Але ви можете налаштувати будь-який флеш-накопичувач USB як "ключ запуску", який повинен бути при завантаженні, перш ніж комп'ютер може розшифрувати його диск і запустити Windows.

    Це ефективно додає двофакторну аутентифікацію до шифрування BitLocker. Кожного разу, коли ви запускаєте комп'ютер, вам потрібно надати ключ USB, перш ніж він буде розшифрований. Це було б особливо корисно з невеликим USB-накопичувачем, який ви носите з собою на брелок.

    Перший крок: увімкнути BitLocker (якщо ви ще не маєте)

    Це, безумовно, вимагає шифрування диска BitLocker, що означає, що він працює тільки у випуску Windows Professional і Professional. Перш ніж виконувати будь-який з наведених нижче дій, потрібно ввімкнути шифрування BitLocker на системному диску з Панелі керування.

    Якщо ви ввімкнете функцію BitLocker на ПК без модуля TPM, можна створити ключ завантаження USB як частину процесу налаштування. Це буде використано замість TPM. Нижченаведені кроки потрібні лише для ввімкнення BitLocker на комп'ютерах з модулями TPM, які мають більшість сучасних комп'ютерів.

    Якщо у вас є домашня версія Windows, ви не зможете використовувати BitLocker. Можливо, замість цього використовується функція шифрування пристроїв, але це не так, як у BitLocker, і не дозволяє вводити ключ запуску.

    Крок другий: увімкніть ключ запуску в редакторі групової політики

    Після ввімкнення функції BitLocker потрібно ввімкнути вимогу ключа запуску в груповій політиці Windows. Щоб відкрити редактор групової політики, натисніть Windows + R на клавіатурі, введіть "gpedit.msc" у діалоговому вікні "Виконати" і натисніть Enter.

    Зверніться до конфігурації комп'ютера> Адміністративні шаблони> Компоненти Windows> Шифрування диска BitLocker> Диск операційних систем у вікні групової політики.

    Двічі клацніть параметр «Вимагати додаткову аутентифікацію при запуску» на правій панелі.

    Виберіть "Увімкнено" у верхній частині вікна. Потім клацніть поле в розділі "Налаштувати ключ запуску TPM" і виберіть опцію "Вимагати ключ запуску з TPM". Натисніть "OK", щоб зберегти зміни.

    Крок третій: Налаштуйте ключ запуску для вашого диска

    Тепер ви можете використовувати manage-bde команда для налаштування USB-накопичувача для диска, зашифрованого за допомогою BitLocker.

    Спочатку вставте USB-диск у комп'ютер. Зверніть увагу на літеру диска USB-D: на скріншоті нижче. Windows збереже невеликий файл .bek на диску, і саме так він стане вашим ключем запуску.

    Потім запустіть вікно командного рядка як адміністратор. У Windows 10 або 8 клацніть правою кнопкою миші кнопку Пуск і виберіть пункт «Командний рядок (адміністратор)». У Windows 7 знайдіть ярлик "Командний рядок" у меню "Пуск", клацніть його правою кнопкою миші та виберіть "Запуск від імені адміністратора"

    Запустіть таку команду. Команда, наведена нижче, працює на диску C: тому, якщо ви бажаєте, щоб для іншого диска був потрібний ключ запуску, введіть його літеру, а не c: . Також потрібно ввести літеру диска підключеного USB-диска, який потрібно використовувати як ключ запуску, а не x: .

    manage-bde -protectors -add c: -TPMAndStartupKey x:

    Ключ буде збережено на USB-диску як прихований файл з розширенням .bek. Ви можете побачити його, якщо ви показуєте приховані файли.

    Вам буде запропоновано вставити диск USB під час наступного завантаження комп'ютера. Будьте обережні з ключем, який копіює ключ з USB-накопичувача, щоб скористатися цією копією, щоб розблокувати диск, зашифрований за допомогою BitLocker.

    Щоб двічі перевірити, чи правильно додано захист TPMAndStartupKey, можна виконати таку команду:

    управління-bde -статус

    (Захисник клавіші "Числовий пароль", показаний тут, є ключем відновлення.)

    Як вилучити вимоги ключових слів запуску

    Якщо ви передумали і хочете припинити запит ключа запуску пізніше, ви можете скасувати цю зміну. По-перше, поверніться до редактора групової політики та змініть опцію назад на "Дозволити ключ запуску з TPM". Ви не можете залишити опцію, встановлену для "Необхідний ключ запуску з TPM", або Windows не дозволить видалити вимогу ключа завантаження з диска.

    Далі відкрийте вікно командного рядка як адміністратор і запустіть наступну команду (знову замінивши c: якщо використовується інший диск):

    manage-bde -protectors -додати c: -TPM

    Це замінить вимогу «TPMandStartupKey» вимогою «TPM», видаливши PIN-код. Диск BitLocker автоматично розблокується через TPM комп'ютера під час завантаження.

    Щоб перевірити, що це успішно завершено, знову запустіть команду статусу:

    керувати-bde -статус c:

    Спочатку перезавантажте комп'ютер. Якщо все працює належним чином, і комп'ютер не вимагає USB-накопичувача для завантаження, ви можете відформатувати диск або просто видалити файл BEK. Ви також можете просто залишити його на своєму диску - цей файл більше нічого не зробить.


    Якщо ви втратите ключ запуску або видалити файл .bek з диска, потрібно надати код відновлення BitLocker для вашого системного диска. Увімкнувши BitLocker для системного диска, ви повинні зберегти його в безпечному місці.

    Зображення: Тоні Остін / Flickr