如何使用USB密钥解锁BitLocker加密的PC

1824655391_00b093c6d7_b

启用BitLocker加密,每次使用内置于大多数现代计算机中的TPM启动计算机时,Windows将自动解锁您的驱动器。 但是,您可以将任何USB闪存驱动器设置为在您的计算机可以解密其驱动器并启动Windows之前必须存在的“启动密钥”。

这有效地将双因素身份验证添加到BitLocker加密。 无论何时启动计算机,都需要提供USB密钥才能解密。 这对于您携带钥匙链的小型USB驱动器尤其有用。

第一步:启用BitLocker(如果您还没有)

这显然需要BitLocker驱动器加密,这意味着它只能在Windows的专业版和企业版上运行。 在遵循以下任何步骤之前,您需要从控制面板启用系统驱动器上的BitLocker加密

如果您无法在没有TPM的PC上启用BitLocker ,则可以选择创建USB启动密钥作为安装过程的一部分。 这将被用来代替TPM。 只有在大多数现代计算机具有 TPM的计算机上启用BitLocker时,才需要执行以下步骤。

如果您有Windows的家庭版本,则无法使用BitLocker。 您可能具有设备加密功能,但是这与BitLocker不同,并且不允许您提供启动密钥。

第二步:在组策略编辑器中启用启动密钥

一旦启用了BitLocker,就需要在Windows组策略中启用启动密钥要求。 要打开组策略编辑器,请按键盘上的Windows + R,在“运行”对话框中键入“gpedit.msc”,然后按Enter键。

前往“计算机配置”>“管理模板”>“Windows组件”>“BitLocker驱动器加密”>“组策略”窗口中的“操作系统驱动器”。

双击右侧窗格中的“在启动时需要额外的身份验证”选项。

在此窗口顶部选择“启用”。 然后,单击“配置TPM启动密钥”下的框并选择“需要带TPM的启动密钥”选项。 点击“确定”保存您的更改。

第三步:为您的驱动器配置启动密钥

您现在可以使用manage-bde命令为BitLocker加密的驱动器配置USB驱动器。

首先,将USB驱动器插入电脑。 请注意下面屏幕截图中USB驱动器-D的盘符。 Windows将保存一个小的.bek文件到驱动器,这就是它将成为你的启动密钥。

接下来,以管理员身份启动命令提示符窗口。 在Windows 10或8上,右键单击“开始”按钮并选择“命令提示符(管理员)”。 在Windows 7上,找到“开始”菜单中的“命令提示符”快捷方式,右键单击它并选择“以管理员身份运行”

运行以下命令。 下面的命令适用于C:驱动器,所以如果你想要另一个驱动器的启动密钥,输入它的盘符而不是c: 您还需要输入要用作启动密钥而不是x:的连接USB驱动器的驱动器号。

  manage-bde -protectors -add c:-TPMAndStartupKey x: 

密钥将以.bek文件扩展名的隐藏文件保存到USB驱动器。 你可以看到它,如果你显示隐藏的文件

下次启动计算机时,系统会要求您插入USB驱动器。 请注意密钥 - 从USB驱动器复制密钥的人可以使用该副本解锁BitLocker加密的驱动器。

要仔细检查TPMAndStartupKey保护程序是否已正确添加,可以运行以下命令:

  manage-bde -status 

(此处显示的“数字密码”键保护器是您的恢复密钥。)

如何删除启动密钥要求

如果您改变了主意,稍后又想停止启动密钥,则可以撤销此更改。 首先,回到组策略编辑器,将选项改回“允许使用TPM启动密钥”。 您不能将选项设置为“需要使用TPM启动密钥”,否则Windows将不允许您从驱动器中删除启动密钥要求。

接下来,以管理员身份打开“命令提示符”窗口,然后运行以下命令(再次替换c:如果使用其他驱动器):

  manage-bde -protectors -add c:-TPM 

这将用“TPM”要求替换“TPMandStartupKey”要求,删除PIN。 启动时,BitLocker驱动器将通过计算机的TPM自动解锁。

要检查是否成功完成,请再次运行状态命令:

  manage-bde -status c: 

尝试先重新启动计算机。 如果一切正常,并且您的计算机不需要USB驱动器启动,您可以自由格式化驱动器或只是删除BEK文件。 你也可以把它放在你的驱动器上,那个文件实际上不会再做任何事情。


如果您丢失启动密钥或从驱动器中删除.bek文件,则需要为系统驱动器提供BitLocker恢复代码。 当您为系统驱动器启用BitLocker时,您应该将其保存在安全的地方。

图片来源: Tony Austin / Flickr

如何使用USB密钥来解锁BitLocker加密的PC

1824655391_00b093c6d7_b

启用BitLocker加密,并且Windows将在每次使用启动计算机时自动解锁驱动器内置到最现代的计算机TPM 但是您可以将任何USB闪存驱动器设置为在启动时必须存在的“启动密钥”,然后计算机才能解密其驱动器并启动Windows。

这有效地将双因素身份验证添加到BitLocker加密。 无论何时启动计算机,您都需要提供USB密钥才能解密。 这将是特别有用的一个小的USB驱动器你带着你在钥匙串。

第一步:启用BitLocker(如果你还没有)

这显然需要BitLocker驱动器加密,这意味着它只适用于Windows专业版和企业版。 之前,你可以按照下面的任何步骤,您就需要系统驱动器上启用BitLocker加密从控制面板。

如果你走出自己的方式来实现在PC上的BitLocker没有TPM ,您可以选择创建一个USB启动密钥的安装过程的一部分。 这将用于代替TPM。 启用计算机上的BitLocker时与全面生产,这下面的步骤只需要最先进的电脑有

如果您有Windows的Home版本,您将无法使用BitLocker。 你可能有设备加密功能代替,但这部作品不同于BitLocker和不允许您提供一个启动键。

第二步:在组策略编辑器中启用启动密钥

一旦启用BitLocker,您需要在Windows组策略中启用启动密钥要求。 要打开组策略编辑器,请按键盘上的Windows + R,在运行对话框中键入“gpedit.msc”,然后按Enter键。

转到计算机配置>管理模板> Windows组件> BitLocker驱动器加密>组策略窗口中的操作系统驱动器。

双击右窗格中的“启动时需要附加身份验证”选项。

在此窗口的顶部选择“Enabled”。 然后,单击“配置TPM启动密钥”下的框,并选择“需要启动密钥与TPM”选项。 单击“确定”保存更改。

第三步:为您的驱动器配置启动密钥

现在,您可以使用manage-bde命令来配置你的BitLocker加密驱动器的USB驱动器。

首先,将USB驱动器插入计算机。 请注意USB驱动器的驱动器盘符:D:在下面的屏幕截图中。 Windows将保存一个小的.bek文件到驱动器,这就是它将如何成为您的启动键。

接下来,以管理员身份启动命令提示符窗口。 在Windows 10或8上,右键单击开始按钮,然后选择“命令提示符(Admin)”。 在Windows 7上,在开始菜单中找到“命令提示符”快捷方式,右键单击它,然后选择“以管理员身份运行”

运行以下命令。 在你的C以下命令的工作:驱动器,所以如果你想需要另一个驱动器启动键,输入其驱动器盘符,而不是c: 您还需要输入要作为启动密钥,而不是使用连接的USB驱动器的驱动器号x:

  manage-bde -protectors -add c:-TPMAndStartupKey x: 

密钥将作为具有.bek文件扩展名的隐藏文件保存到USB驱动器。 你可以看到它,如果你显示隐藏文件

在下次启动计算机时,系统会要求您插入USB驱动器。 小心键 - 从USB驱动器复制密钥的人可以使用该副本解锁BitLocker加密的驱动器。

要仔细检查TPMAndStartupKey保护程序是否已正确添加,可以运行以下命令:

  manage-bde -status 

(此处显示的“数字密码”密钥保护程序是您的恢复密钥。)

如何删除启动密钥要求

如果您改变主意,并希望稍后停止要求启动密钥,则可以撤消此更改。 首先,返回到组策略编辑器并将选项更改回“允许启动密钥与TPM”。 您不能将选项设置为“要求启动密钥与TPM”或Windows不允许您从驱动器中删除启动密钥要求。

接下来,打开一个命令提示符窗口管理器,运行以下命令(同样,替换c:如果您使用的是不同的驱动器):

  manage-bde -protectors -add c:-TPM 

这将用“TPM”要求替换“TPMandStartupKey”要求,删除PIN。 当您启动时,BitLocker驱动器将通过计算机的TPM自动解锁。

要检查此操作是否已成功完成,请再次运行status命令:

  manage-bde -status c: 

请尝试重新启动计算机。 如果一切正常,您的计算机不需要USB驱动器启动,您可以格式化驱动器或只是删除BEK文件。 你也可以把它留在你的驱动器上 - 该文件实际上不会做任何事情。


如果丢失启动密钥或从驱动器中删除.bek文件,则需要为系统驱动器提供BitLocker恢复代码。 当您为系统驱动器启用BitLocker时,应该已经保存在某处。

图片来源: 托尼·奥斯汀 / Flickr的

赞 (0)
分享到:更多 ()