Как использовать USB-ключ для разблокировки компьютера с шифрованием BitLocker

1824655391_00b093c6d7_b

Включите шифрование BitLocker, и Windows автоматически разблокирует ваш диск при каждом запуске вашего компьютера с помощью TPM, встроенного в большинство современных компьютеров. Но вы можете настроить любой USB-накопитель как «ключ запуска», который должен присутствовать при загрузке, прежде чем ваш компьютер сможет расшифровать его диск и запустить Windows.

Это эффективно добавляет двухфакторную аутентификацию для шифрования BitLocker. Всякий раз, когда вы запускаете свой компьютер, вам необходимо предоставить ключ USB, прежде чем он будет расшифрован. Это было бы особенно полезно с маленьким USB-накопителем, который вы носили с собой на брелка.

Шаг первый: включить BitLocker (если вы еще не сделали этого)

Для этого, очевидно, требуется шифрование диска BitLocker, что означает, что он работает только с выпуском Windows Professional и Enterprise. Прежде чем вы сможете выполнить любой из приведенных ниже шагов, вам необходимо включить шифрование BitLocker на системном диске с панели управления.

Если вы отключите BitLocker на ПК без TPM, вы можете создать ключ запуска USB как часть процесса настройки. Это будет использоваться вместо TPM. Следующие шаги необходимы только при включении BitLocker на компьютерах с TPM, которые имеются у большинства современных компьютеров.

Если у вас есть домашняя версия Windows, вы не сможете использовать BitLocker. Вместо этого у вас может быть функция шифрования устройства, но это работает не так, как BitLocker, и не позволяет вам предоставить ключ запуска.

Шаг второй: включить ключ запуска в редакторе групповой политики

После того, как вы включили BitLocker, вам необходимо включить ключевое условие запуска в групповой политике Windows. Чтобы открыть редактор групповой политики, нажмите Windows + R на клавиатуре, введите «gpedit.msc» в диалоговом окне «Запуск» и нажмите «Ввод».

Начните с конфигурации компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Операционные системы в окне групповой политики.

Дважды щелкните правой кнопкой мыши параметр «Требовать дополнительную аутентификацию при запуске».

Выберите «Включено» в верхней части окна. Затем щелкните поле «Настроить ключ запуска TPM» и выберите параметр «Требовать ключ запуска с помощью TPM». Нажмите «ОК», чтобы сохранить изменения.

Шаг третий: настройка ключа автозапуска для вашего диска

Теперь вы можете использовать команду manage-bde для настройки USB-накопителя для вашего зашифрованного BitLocker диска.

Сначала вставьте USB-накопитель в компьютер. Обратите внимание на букву диска USB-диска D: на скриншоте ниже. Windows сохранит небольшой файл .bek на диске, и именно так он станет вашим ключом автозагрузки.

Затем запустите окно командной строки в качестве администратора. В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (Admin)». В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора»,

Выполните следующую команду. Команда ниже работает на вашем диске C: поэтому, если вы хотите потребовать ключ запуска для другого диска, введите его букву диска вместо c:. Вам также потребуется ввести букву диска подключенного USB-накопителя, который вы хотите использовать в качестве ключа запуска, вместо x:.

manage-bde -protectors -add c: -TPMAndStartupKey x:

Ключ будет сохранен на USB-накопителе в виде скрытого файла с расширением .bek. Вы можете видеть это, если вы показываете скрытые файлы.

Вас попросят вставить USB-накопитель при следующей загрузке компьютера. Будьте осторожны с ключом — кто-то, который копирует ключ с вашего USB-накопителя, может использовать эту копию, чтобы разблокировать диск с зашифрованным файлом BitLocker.

Чтобы дважды проверить, правильно ли был добавлен защитник TPMAndStartupKey, вы можете запустить следующую команду:

manage-bde -status

(Здесь отображается защитный ключ «Цифровой пароль», это ваш ключ восстановления.)

Как удалить ключ запуска

Если вы передумаете и хотите перестать требовать ключ автозагрузки позже, вы можете отменить это изменение. Сначала вернитесь к редактору групповой политики и измените параметр на «Разрешить запуск ключа с TPM». Вы не можете оставить параметр «Требовать ключ запуска с помощью TPM», иначе Windows не позволит вам удалить ключ запуска с диска.

Затем откройте окно командной строки в качестве администратора и выполните следующую команду (опять же, заменив c: если вы используете другой диск):

manage-bde -protectors -add c: -TPM

Это заменит требование «TPMandStartupKey» требованием «TPM», удалив PIN-код. При загрузке ваш диск BitLocker автоматически разблокируется с помощью TPM вашего компьютера.

Чтобы проверить, что это выполнено успешно, запустите команду status еще раз:

manage-bde -status c:

Сначала попробуйте перезагрузить компьютер. Если все работает правильно, и на вашем компьютере не требуется USB-накопитель для загрузки, вы можете отформатировать диск или просто удалить файл BEK. Вы также можете просто оставить его на своем диске — этот файл больше ничего не сделает.

Если вы потеряете ключ автозагрузки или удалите файл .bek с диска, вам необходимо предоставить код восстановления BitLocker для вашего системного диска. Если вы включили BitLocker для вашего системного диска, вы должны были сохранить его в безопасном месте.

Изображение: Тони Остин / Flickr

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.