Dette legger effektivt til tofaktorautentisering til BitLocker-kryptering. Når du starter datamaskinen, må du gi USB-nøkkelen før den blir dekryptert. Dette ville være spesielt nyttig med en liten USB-stasjon du bærer med deg på en nøkkelring.
Trinn ett: Aktiver BitLocker (Hvis du ikke allerede har det)
Hvis du går ut av veien for å aktivere BitLocker på en PC uten en TPM, kan du velge å opprette en USB-oppstartskode som en del av oppsettsprosessen. Dette vil bli brukt i stedet for TPM. Nedenfor trinnene er bare nødvendige når du aktiverer BitLocker på datamaskiner med TPM, hvilke moderne datamaskiner har.
Hvis du har en hjemmeversjon av Windows, vil du ikke kunne bruke BitLocker. Du kan ha funksjonen Enhetskryptering i stedet, men dette fungerer annerledes enn BitLocker, og lar deg ikke gi en oppstartsnøkkel.
Trinn to: Aktiver startnøkkelen i gruppepolicyredigerer
Når du har aktivert BitLocker, må du aktivere oppstartskodekravet i Windows gruppepolicy. For å åpne gruppepolicyredigereren, trykk Windows + R på tastaturet, skriv "gpedit.msc" i dialogboksen Kjør, og trykk på Enter.
Gå til Computer Configuration> Administrative Maler> Windows-komponenter> BitLocker-stasjonskryptering> Operativsystemstasjoner i vinduet Gruppepolicy.
Dobbeltklikk på alternativet "Krev ytterligere godkjenning ved oppstart" i høyre rute.
Trinn tre: Konfigurer en oppstartsnøkkel for stasjonen
Du kan nå bruke
manage-bde
kommandoen for å konfigurere en USB-stasjon for din BitLocker-krypterte stasjon.
Først sett inn en USB-stasjon i datamaskinen. Merk stasjonsbokstaven på USB-stasjonen-D: i skjermbildet nedenfor. Windows lagrer en liten.bek-fil til stasjonen, og det blir hvordan det blir startnøkkelen.
Kjør følgende kommando. Kommandoen nedenfor fungerer på din C: -stasjon, så hvis du vil kreve en oppstartsnøkkel for en annen stasjon, skriv inn stasjonsbokstaven i stedet for
c:
. Du må også skrive inn stasjonsbokstaven til den tilkoblede USB-stasjonen du vil bruke som oppstartsknapp i stedet for
x:
manage-bde -protectors -add c: -TPMAndStartupKey x:
manage-bde -status
(Protokollen "Numerisk passord" som vises her er gjenopprettingsnøkkelen.)
Slik fjerner du Startup Key Requirement
Hvis du tenker på deg og vil slutte å kreve oppstartstasten senere, kan du angre denne endringen. Først, gå tilbake til konsernpolitikkeditoren og endre alternativet tilbake til «Tillat oppstartsnøkkel med TPM». Du kan ikke la valget settes til "Krev oppstartsnøkkel med TPM", eller Windows vil ikke tillate deg å fjerne startkravkravet fra stasjonen.
c:
hvis du bruker en annen stasjon):
manage-bde -protectors -add c: -TPM
Dette vil erstatte "TPMandStartupKey" kravet med et "TPM" krav, å slette PIN-koden. BitLocker-stasjonen din vil automatisk låse opp via datamaskinens TPM når du starter opp.
manage-bde -status c:
Hvis du mister oppstartstasten eller sletter.bek-filen fra stasjonen, må du oppgi BitLocker-gjenopprettingskoden for systemstasjonen. Du burde ha lagret et sted trygt når du aktiverte BitLocker for systemstasjonen.