Как использовать USB-ключ для разблокировки компьютера, зашифрованного BitLocker

Включите шифрование BitLocker, и Windows будет автоматически разблокировать ваш диск при каждом запуске компьютера с помощью TPM, встроенного в большинство современных компьютеров. Но вы можете настроить любой USB-накопитель в качестве «ключа запуска», который должен присутствовать при загрузке, прежде чем ваш компьютер сможет расшифровать свой накопитель и запустить Windows.

Это эффективно добавляет двухфакторную аутентификацию к шифрованию BitLocker. Каждый раз, когда вы запускаете компьютер, вам необходимо предоставить USB-ключ, прежде чем он будет расшифрован. Это было бы особенно полезно для небольшого USB-накопителя, который вы носите с собой на связке ключей..

Шаг первый: включите BitLocker (если вы этого еще не сделали)

Это, очевидно, требует шифрования диска BitLocker, что означает, что он работает только в выпусках Windows Professional и Enterprise. Прежде чем вы сможете выполнить любой из следующих шагов, вам нужно включить шифрование BitLocker на системном диске с панели управления.

Если вы не хотите включать BitLocker на ПК без доверенного платформенного модуля, вы можете создать ключ запуска USB в процессе установки. Это будет использоваться вместо TPM. Приведенные ниже шаги необходимы только при включении BitLocker на компьютерах с доверенными платформенными модулями, которые есть на большинстве современных компьютеров..

Если у вас есть домашняя версия Windows, вы не сможете использовать BitLocker. Вместо этого вы можете использовать функцию шифрования устройства, но она работает не так, как BitLocker, и не позволяет предоставить ключ запуска..

Шаг второй: включите ключ запуска в редакторе групповой политики

После включения BitLocker необходимо включить требование ключа запуска в групповой политике Windows. Чтобы открыть редактор групповой политики, нажмите Windows + R на клавиатуре, введите «gpedit.msc» в диалоговом окне «Выполнить» и нажмите Enter.

Перейдите в раздел Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы в окне групповой политики.

Дважды щелкните параметр «Требовать дополнительную аутентификацию при запуске» на правой панели..

Выберите «Включено» в верхней части окна здесь. Затем установите флажок «Настроить ключ запуска TPM» и выберите параметр «Требовать ключ запуска с TPM». Нажмите «ОК», чтобы сохранить изменения.

Шаг третий: настройка ключа запуска для вашего диска

Теперь вы можете использовать управлять-BDE команда для настройки USB-накопителя для вашего зашифрованного диска BitLocker.

Сначала вставьте USB-накопитель в компьютер. Обратите внимание на букву диска USB-накопителя-D: на снимке экрана ниже. Windows сохранит небольшой файл .bek на диск, и он станет вашим ключом запуска.

Затем запустите окно командной строки от имени администратора. В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (Admin)». В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».

Запустите следующую команду. Приведенная ниже команда работает на вашем диске C :, поэтому, если вам требуется ключ запуска для другого диска, введите его букву вместо с: . Вам также нужно будет ввести букву диска подключенного USB-накопителя, который вы хотите использовать в качестве ключа запуска вместо Икс: .

manage-bde -protectors -add c: -TPMAndStartupKey x:

Ключ будет сохранен на USB-накопителе в виде скрытого файла с расширением .bek. Вы можете увидеть это, если покажете скрытые файлы.

Вам будет предложено вставить USB-накопитель при следующей загрузке компьютера. Будьте осторожны с ключом - кто-то, кто копирует ключ с вашего USB-накопителя, может использовать эту копию для разблокировки вашего зашифрованного диска BitLocker.

Чтобы дважды проверить, правильно ли был добавлен защитник TPMAndStartupKey, вы можете выполнить следующую команду:

manage-bde -status

(Защитная кнопка «Числовой пароль», отображаемая здесь, является вашим ключом восстановления.)

Как удалить требование ключа запуска

Если вы передумали и хотите прекратить запрашивать ключ запуска позже, вы можете отменить это изменение. Сначала вернитесь в редактор групповой политики и измените параметр обратно на «Разрешить ключ запуска с доверенным платформенным модулем». Вы не можете оставить параметр «Требовать ключ запуска с доверенным платформенным модулем», иначе Windows не позволит удалить требование ключа запуска с диска..

Затем откройте окно командной строки от имени администратора и выполните следующую команду (снова, заменив с: если вы используете другой диск):

manage-bde -protectors -add c: -TPM

Это заменит требование «TPMandStartupKey» на требование «TPM», удалив PIN-код. Ваш диск BitLocker автоматически разблокируется через TPM вашего компьютера при загрузке.

Чтобы убедиться, что это выполнено успешно, снова введите команду status:

manage-bde -status c:

Попробуйте сначала перезагрузить компьютер. Если все работает правильно и ваш компьютер не требует USB-накопителя для загрузки, вы можете отформатировать накопитель или просто удалить файл BEK. Вы также можете просто оставить его на своем диске - этот файл больше ничего не сделает.

Если вы потеряете ключ автозагрузки или удалите файл .bek с диска, вам потребуется предоставить код восстановления BitLocker для вашего системного диска. Вы должны были сохранить в безопасном месте, когда вы включили BitLocker для вашего системного диска.

Изображение предоставлено: Тони Остин / Flickr