Cách sử dụng Khóa USB để mở khóa PC được mã hóa BitLocker
Kích hoạt mã hóa BitLocker và Windows sẽ tự động mở khóa ổ đĩa của bạn mỗi khi bạn khởi động máy tính bằng TPM được tích hợp trong hầu hết các máy tính hiện đại. Nhưng bạn có thể thiết lập bất kỳ ổ flash USB nào dưới dạng khóa khởi động của hệ điều hành, phải có mặt khi khởi động trước khi máy tính của bạn có thể giải mã ổ đĩa của nó và khởi động Windows.
Điều này có hiệu quả thêm xác thực hai yếu tố vào mã hóa BitLocker. Bất cứ khi nào bạn khởi động máy tính, bạn sẽ cần cung cấp khóa USB trước khi nó được giải mã. Điều này sẽ đặc biệt hữu ích với một ổ USB nhỏ mà bạn mang theo trên móc khóa.
Bước một: Kích hoạt BitLocker (Nếu bạn chưa có)
Điều này, rõ ràng, yêu cầu mã hóa ổ đĩa BitLocker, có nghĩa là nó chỉ hoạt động trên các phiên bản Professional và Enterprise của Windows. Trước khi bạn có thể làm theo bất kỳ bước nào dưới đây, bạn sẽ cần bật mã hóa BitLocker trên ổ đĩa hệ thống của mình từ Bảng điều khiển.
Nếu bạn không sử dụng BitLocker trên PC mà không có TPM, bạn có thể chọn tạo khóa khởi động USB như một phần của quy trình thiết lập. Điều này sẽ được sử dụng thay vì TPM. Các bước dưới đây chỉ cần thiết khi bật BitLocker trên các máy tính có TPM, mà hầu hết các máy tính hiện đại đều có.
Nếu bạn có phiên bản Home của Windows, bạn sẽ không thể sử dụng BitLocker. Thay vào đó, bạn có thể có tính năng Mã hóa thiết bị, nhưng tính năng này hoạt động khác với BitLocker và không cho phép bạn cung cấp khóa khởi động.
Bước hai: Kích hoạt khóa khởi động trong Trình chỉnh sửa chính sách nhóm
Khi bạn đã bật BitLocker, bạn sẽ cần bật yêu cầu khóa khởi động trong chính sách nhóm của Windows. Để mở Trình chỉnh sửa chính sách nhóm, hãy nhấn Windows + R trên bàn phím của bạn, nhập vào cơ sở dữ liệu của Gpedit.msc vào hộp thoại Run và nhấn Enter.
Cấu hình máy tính> Cấu hình quản trị> Cấu phần Windows> Mã hóa ổ đĩa BitLocker> Ổ đĩa hệ điều hành trong cửa sổ Chính sách nhóm.
Bấm đúp vào tùy chọn Yêu cầu xác thực bổ sung khi khởi động tùy chọn trong ngăn bên phải.
Chọn Enzen được kích hoạt ở đầu cửa sổ ở đây. Sau đó, nhấp vào ô bên dưới Cấu hình khóa khởi động TPM Cấu hình khóa và chọn tùy chọn Yêu cầu khởi động khóa với tùy chọn TPM. Nhấp vào OK OK OK để lưu các thay đổi của bạn.
Bước ba: Định cấu hình Khóa khởi động cho ổ đĩa của bạn
Bây giờ bạn có thể sử dụng quản lý
lệnh để định cấu hình ổ USB cho ổ đĩa được mã hóa BitLocker của bạn.
Đầu tiên, lắp ổ USB vào máy tính của bạn. Lưu ý ký tự ổ đĩa của ổ USB-D: trong ảnh chụp màn hình bên dưới. Windows sẽ lưu một tệp .bek nhỏ vào ổ đĩa và đó là cách nó sẽ trở thành khóa khởi động của bạn.
Tiếp theo, khởi chạy cửa sổ Dấu nhắc lệnh với tư cách Quản trị viên. Trên Windows 10 hoặc 8, nhấp chuột phải vào nút Bắt đầu và chọn Dấu nhắc lệnh (Quản trị viên). Trên Windows 7, tìm lối tắt Lời nhắc của Command Command trong menu Bắt đầu, nhấp chuột phải vào nó và chọn Chạy Run làm Quản trị viên
Chạy lệnh sau. Lệnh dưới đây hoạt động trên ổ C: của bạn, vì vậy nếu bạn muốn yêu cầu khóa khởi động cho ổ đĩa khác, hãy nhập tên ổ đĩa của nó thay vì c:
. Bạn cũng cần nhập ký tự ổ đĩa của ổ USB được kết nối mà bạn muốn sử dụng làm khóa khởi động thay vì x:
.
Manage-bde -protector -add c: -TPMAndStartupKey x:
Khóa sẽ được lưu vào ổ USB dưới dạng tệp ẩn có phần mở rộng tệp .bek. Bạn có thể thấy nó nếu bạn hiển thị các tập tin ẩn.
Bạn sẽ được yêu cầu lắp ổ USB vào lần tới khi bạn khởi động máy tính. Hãy cẩn thận với khóa - ai đó sao chép khóa từ ổ USB của bạn có thể sử dụng bản sao đó để mở khóa ổ đĩa được mã hóa BitLocker của bạn.
Để kiểm tra kỹ xem bộ bảo vệ TPMAndStartupKey đã được thêm đúng chưa, bạn có thể chạy lệnh sau:
quản lý-bde -status
(Mật khẩu số mật khẩu Bảo vệ khóa mật khẩu được hiển thị ở đây là khóa khôi phục của bạn.)
Cách xóa yêu cầu khóa khởi động
Nếu bạn đổi ý và muốn ngừng yêu cầu khóa khởi động sau, bạn có thể hoàn tác thay đổi này. Trước tiên, hãy quay lại trình chỉnh sửa Chính sách nhóm và thay đổi tùy chọn trở lại cho phép Khóa cho phép khởi động với TPM. Bạn không thể để tùy chọn được đặt thành Khóa Yêu cầu Khởi động với TPM, hoặc Windows sẽ không cho phép bạn xóa yêu cầu khóa khởi động khỏi ổ đĩa.
Tiếp theo, mở cửa sổ Dấu nhắc Lệnh với tư cách Quản trị viên và chạy lệnh sau (một lần nữa, thay thế c:
nếu bạn đang sử dụng một ổ đĩa khác):
Manage-bde -protector -add c: -TPM
Điều này sẽ thay thế yêu cầu của TPMandStartupKey, bằng một yêu cầu TPM, và xóa mã PIN. Ổ BitLocker của bạn sẽ tự động mở khóa thông qua TPM trên máy tính của bạn khi bạn khởi động.
Để kiểm tra xem việc này đã hoàn thành thành công chưa, hãy chạy lại lệnh trạng thái:
quản lý-bde -status c:
Hãy thử khởi động lại máy tính của bạn trước. Nếu mọi thứ hoạt động bình thường và máy tính của bạn không yêu cầu ổ USB để khởi động, bạn có thể tự do định dạng ổ đĩa hoặc chỉ cần xóa tệp BEK. Bạn cũng có thể để nó trên ổ đĩa của mình - tập tin đó sẽ không thực sự làm gì nữa.
Nếu bạn mất khóa khởi động hoặc xóa tệp .bek khỏi ổ đĩa, bạn sẽ cần cung cấp mã khôi phục BitLocker cho ổ đĩa hệ thống của mình. Bạn nên lưu ở một nơi an toàn khi bạn bật BitLocker cho ổ đĩa hệ thống của bạn.
Tín dụng hình ảnh: Tony Austin / Flickr