Това ефективно добавя двуфакторна идентификация към криптиране на BitLocker. Всеки път, когато стартирате компютъра си, ще трябва да предоставите USB ключа, преди той да бъде дешифриран. Това би било особено полезно с малък USB диск, който носите със себе си на ключодържател.
Първа стъпка: Активирайте BitLocker (ако не сте вече)
Ако излезете от пътя си, за да активирате BitLocker на компютър без TPM, можете да изберете да създадете USB стартов ключ като част от процеса на настройка. Това ще бъде използвано вместо TPM. Следващите стъпки са необходими само при активиране на BitLocker на компютри с TPM, които имат най-модерните компютри.
Ако имате начална версия на Windows, няма да можете да използвате BitLocker. Вместо това може да имате функцията Шифроване на устройството, но това работи по различен начин от BitLocker и не ви позволява да предоставите стартов ключ.
Стъпка втора: Активирайте ключа за стартиране в редактора за групови правила
След като активирате функцията BitLocker, ще трябва да активирате изискването за ключ за стартиране в груповите правила на Windows. За да отворите редактора за групови правила, натиснете Windows + R на клавиатурата си, напишете "gpedit.msc" в диалоговия прозорец "Изпълнение" и натиснете Enter.
Насочете към Компютърна конфигурация> Административни шаблони> Компоненти на Windows> Шифроване на устройство BitLocker> Драйверите на операционната система в прозореца за групови правила.
Щракнете двукратно върху опцията "Необходими допълнителни удостоверяване при стартиране" в десния панел.
Стъпка трета: Конфигурирайте стартовия ключ за устройството си
Сега можете да използвате
manage-bde
команда за конфигуриране на USB устройство за кодираното от BitLocker устройство.
Първо, поставете USB устройство в компютъра си. Обърнете внимание на буквата на диска на USB устройството-D: на екранната снимка по-долу. Windows ще запази малък файл.bek към устройството и по този начин ще стане вашият стартов ключ.
Изпълнете следната команда. Командата по-долу работи на вашето C: устройство, така че ако искате да изисквате стартов ключ за друго устройство, въведете буквата на устройството вместо
c:
Освен това ще трябва да въведете буквата на устройството на свързаното USB устройство, което искате да използвате като стартов ключ вместо
x:
manage-bde -protectors -add c: -TPMAndStartupKey x:
manage-bde -status
(Показаният тук защитен ключ за цифровата парола е вашият ключ за възстановяване.)
Как да премахнете изискването за клавиша за стартиране
Ако промените решението си и искате да преустановите по-късно изискването за стартовия ключ, можете да отмените тази промяна. Първо, върнете се към редактора за групови правила и променете опцията обратно на "Да се разреши стартовият ключ с TPM". Не можете да оставите опцията, зададена в "Изисквам стартов ключ с TPM" или Windows няма да ви позволи да премахнете изискването за ключ за стартиране от устройството.
c:
ако използвате различно устройство):
manage-bde -protectors -add c: -TPM
Това ще замени изискването "TPMandStartupKey" с изискване "TPM", като изтриете ПИН кода. Вашето устройство BitLocker ще се отключи автоматично чрез TPM на компютъра, когато заредите.
manage-bde -status c:
Ако загубите стартовия ключ или изтриете файла.bek от устройството, ще трябва да предоставите кода за възстановяване на BitLocker за системното устройство. Трябваше да сте запазили някъде безопасно, когато сте активирали BitLocker за системното си устройство.