Ako používať USB kľúč na odomknutie počítača so šifrovaním BitLocker
Aktivujte šifrovanie BitLocker a systém Windows automaticky odblokuje disk vždy, keď spustíte počítač pomocou modulu TPM zabudovaného do väčšiny moderných počítačov. Môžete však nastaviť ľubovoľnú jednotku USB flash ako "spúšťací kľúč", ktorý musí byť prítomný pri zavádzaní skôr, než počítač dokáže dešifrovať svoj disk a spustiť systém Windows.
To efektívne pridáva dvojfaktorové overovanie do šifrovania BitLocker. Pri každom spustení počítača budete musieť skontrolovať kľúč USB pred jeho dešifrovaním. To by bolo obzvlášť užitočné s malou jednotkou USB, ktorú nosíte so sebou na kľúčenke.
Prvý krok: Povoľte nástroj BitLocker (ak ste ho už neurobili)
To samozrejme vyžaduje šifrovanie jednotiek BitLocker, čo znamená, že funguje len v profesionálnych a podnikových vydaniach systému Windows. Skôr ako budete môcť postupovať podľa niektorého z krokov uvedených nižšie, musíte povoliť šifrovanie BitLocker na systémovej jednotke z ovládacieho panela.
Ak vyjdete z cesty, aby ste povolili nástroj BitLocker na počítači bez TPM, môžete si vybrať vytvorenie spúšťacieho kľúča USB ako súčasť procesu inštalácie. Toto sa použije namiesto modulu TPM. Nasledujúce kroky sú potrebné iba pri aktivácii nástroja BitLocker v počítačoch s modulmi TPM, ktoré majú najnovšie počítače.
Ak máte domácu verziu systému Windows, nebudete môcť používať nástroj BitLocker. Môžete mať funkciu Šifrovanie zariadenia namiesto toho, ale toto funguje odlišne od nástroja BitLocker a nedovoľuje vám poskytnúť spúšťací kľúč.
Druhý krok: Povolenie spúšťacieho kľúča v editore politiky skupiny
Po aktivácii funkcie BitLocker budete musieť povoliť požiadavku kľúča pri spustení v pravidlách skupiny pre systém Windows. Ak chcete otvoriť editor Zásady skupiny, stlačte klávesy Windows + R na klávesnici, do dialógového okna Spustiť zadajte reťazec "gpedit.msc" a stlačte kláves Enter.
Konfigurácia počítača> Šablóny pre správu> Komponenty systému Windows> Šifrovanie jednotiek BitLocker> Jednotky operačného systému v okne Zásady skupiny.
Dvakrát kliknite na možnosť "Vyžadovať dodatočné overenie pri štarte" v pravej časti okna.
V hornej časti okna vyberte možnosť "Enabled". Potom kliknite na políčko "Konfigurácia spúšťacieho kľúča TPM" a vyberte možnosť "Vyžadovať spustenie kľúča s TPM". Ak chcete zmeny uložiť, kliknite na tlačidlo "OK".
Tretí krok: Konfigurácia spúšťacieho kľúča pre váš disk
Teraz môžete použiť manage-BDE
príkaz konfigurovať jednotku USB pre šifrovanú jednotku BitLocker.
Najskôr vložte do počítača jednotku USB. Všimnite si písmeno jednotky disku USB-D: na obrázku nižšie. Systém Windows uloží na jednotku malý súbor .bek a tak sa stane vaším spúšťacím kľúčom.
Potom spustite okno Príkazový riadok ako správca. V systéme Windows 10 alebo 8 kliknite pravým tlačidlom myši na tlačidlo Štart a vyberte položku "Príkazový riadok (Admin)". V systéme Windows 7 nájdite skratku "Príkazový riadok" v ponuke Štart, kliknite naň pravým tlačidlom myši a zvoľte "Spustiť ako správca"
Spustite nasledujúci príkaz. Príkaz uvedený nižšie funguje na jednotke C: Ak chcete použiť inú jednotku na spustenie, zadajte jej písmeno jednotky namiesto c:
. Budete tiež musieť zadať písmeno jednotky pripojenej jednotky USB, ktorú chcete použiť ako spúšťací kľúč namiesto X:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Kľúč sa uloží do jednotky USB ako skrytý súbor s príponou súboru .bek. Môžete to vidieť, ak zobrazujete skryté súbory.
Pri ďalšom zavádzaní počítača budete požiadaný o vloženie jednotky USB. Buďte opatrní s kľúčom - niekto, kto kopíruje kľúč z vašej jednotky USB, môže použiť túto kópiu na odomknutie šifrovanej jednotky BitLocker.
Ak chcete skontrolovať, či bola ochranná vrstva TPMAndStartupKey správne pridaná, môžete spustiť nasledujúci príkaz:
manage-bde -status
(Tu sa zobrazuje kľúč na ochranu kľúčov "Numerické heslo".)
Ako odstrániť požiadavku na spúšťací kľúč
Ak zmeníte názor a chcete prestať vyžadovať spúšťací kľúč neskôr, môžete túto zmenu vrátiť späť. Najprv sa vráťte do editora Zásady skupiny a zmeňte voľbu na "Povoliť spúšťací kľúč s TPM". Nemôžete ponechať nastavenú možnosť na "Vyžadovať štartovací kľúč s TPM" alebo systém Windows nebude môcť odstrániť požiadavku kľúča pri spúšťaní z jednotky.
Ďalej otvorte okno Správy a zadajte nasledujúci príkaz (opäť nahradenie c:
ak používate inú jednotku):
spravovať-bde -protectors -add c: -TPM
Tým sa nahradí požiadavka "TPMandStartupKey" požiadavkou "TPM", pričom sa vymaže kód PIN. Vaša jednotka BitLocker sa po zavádzaní automaticky odblokuje pomocou TPM počítača.
Ak chcete skontrolovať úspešné dokončenie, spustite znova stavový príkaz:
manage-bde -status c:
Najprv skúste reštartovať počítač. Ak všetko funguje správne a váš počítač nevyžaduje zavedenie jednotky USB, máte možnosť naformátovať disk alebo len odstrániť súbor BEK. Môžete tiež jednoducho nechať to na disku - tento súbor v skutočnosti nič neurobí.
Ak stratíte spúšťací kľúč alebo vymažete súbor .bek z jednotky, budete musieť poskytnúť kód obnovenia BitLocker pre vašu systémovú jednotku. Mali by ste mať uložené niekde v bezpečí, keď ste povolili nástroj BitLocker pre systémovú jednotku.
Image Credit: Tony Austin / Flickr