Hoe een USB-sleutel te gebruiken om een met BitLocker versleutelde pc te ontgrendelen
Schakel BitLocker-codering in en Windows zal uw schijf automatisch ontgrendelen telkens wanneer u uw computer start met behulp van de TPM die is ingebouwd in de meeste moderne computers. Maar u kunt elke USB-flashdrive instellen als een "opstartsleutel" die aanwezig moet zijn bij het opstarten voordat uw computer de schijf kan decoderen en Windows kan starten.
Hiermee wordt effectief twee-factor-authenticatie aan BitLocker-codering toegevoegd. Wanneer u uw computer opstart, moet u de USB-sleutel opgeven voordat deze kan worden gedecodeerd. Dit zou vooral handig zijn met een kleine USB-drive die je bij je draagt op een sleutelhanger.
Stap één: BitLocker inschakelen (als u dat nog niet hebt gedaan)
Dit vereist uiteraard BitLocker-schijfversleuteling, wat betekent dat het alleen werkt op professionele en zakelijke edities van Windows. Voordat u een van de onderstaande stappen kunt volgen, moet u de BitLocker-codering op uw systeemschijf inschakelen via het Configuratiescherm.
Als u uw best doet om BitLocker zonder TPM op een pc in te schakelen, kunt u ervoor kiezen om een USB-opstartsleutel te maken als onderdeel van het installatieproces. Dit wordt gebruikt in plaats van de TPM. De onderstaande stappen zijn alleen nodig bij het inschakelen van BitLocker op computers met TPM's, die de meeste moderne computers hebben.
Als u een startversie van Windows hebt, kunt u BitLocker niet gebruiken. Mogelijk hebt u in plaats daarvan de apparaatcodering, maar dit werkt anders dan bij BitLocker en u kunt geen opstartsleutel opgeven..
Stap twee: Schakel de opstartsleutel in de groepsbeleid-editor in
Nadat u BitLocker hebt ingeschakeld, moet u de vereisten voor de opstartsleutel inschakelen in het groepsbeleid van Windows. Als u de Groepsbeleid-editor wilt openen, drukt u op Windows + R op uw toetsenbord, typt u 'gpedit.msc' in het dialoogvenster Uitvoeren en drukt u op Enter.
Ga naar Computerconfiguratie> Beheersjablonen> Windows-onderdelen> BitLocker-stationsversleuteling> Besturingssysteemstations in het venster Groepsbeleid.
Dubbelklik op de optie "Extra verificatie bij opstarten vragen" in het rechterdeelvenster.
Selecteer hier "Ingeschakeld" bovenaan het venster. Klik vervolgens op het vakje onder "TPM-opstartsleutel configureren" en selecteer de optie "Opstartsleutel vereisen met TPM". Klik op "OK" om uw wijzigingen op te slaan.
Stap drie: configureer een opstartsleutel voor uw schijf
U kunt nu de manage-bde
opdracht om een USB-station voor uw met BitLocker versleutelde station te configureren.
Steek eerst een USB-station in uw computer. Let op de stationsletter van de USB-drive-D: in de onderstaande schermafbeelding. Windows slaat een klein .bek-bestand op de drive op, en zo wordt het uw opstartsleutel.
Start vervolgens een opdrachtpromptvenster als beheerder. Klik op Windows 10 of 8 met de rechtermuisknop op de knop Start en selecteer "Opdrachtprompt (Beheerder)". Zoek in Windows 7 de snelkoppeling "Opdrachtprompt" in het menu Start, klik er met de rechtermuisknop op en selecteer "Uitvoeren als beheerder"
Voer de volgende opdracht uit. De onderstaande opdracht werkt op uw C: -station, dus als u een opstartsleutel voor een ander station wilt, voert u de stationsletter ervan in c:
. U moet ook de stationsletter invoeren van het aangesloten USB-station dat u wilt gebruiken als opstartsleutel in plaats van X:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
De sleutel wordt als een verborgen bestand met de bestandsextensie .bek op het USB-station opgeslagen. Je kunt het zien als je verborgen bestanden toont.
U wordt gevraagd de USB-schijf te plaatsen de volgende keer dat u uw computer opstart. Wees voorzichtig met de sleutel: iemand die de sleutel van je USB-station kopieert, kan die kopie gebruiken om je BitLocker-gecodeerde schijf te ontgrendelen.
Om te controleren of de TPMAndStartupKey-protector correct is toegevoegd, kunt u de volgende opdracht uitvoeren:
manage-bde -status
(De sleutelbeschermer "Numeriek wachtwoord" die hier wordt weergegeven, is uw herstelsleutel.)
Hoe de startup-sleutel te verwijderen
Als u van gedachten verandert en u wilt niet langer de opstartcode nodig hebben, kunt u deze wijziging ongedaan maken. Ga eerst terug naar de Groepsbeleid-editor en verander de optie terug naar "Allow Startup Key With TPM". U kunt de optie "Opstartsleutel vereisen met TPM" niet verlaten of Windows staat niet toe dat u de opstarttoepassing van de schijfeenheid verwijdert.
Open vervolgens een opdrachtpromptvenster als beheerder en voer de volgende opdracht uit (opnieuw, vervangen c:
als u een ander station gebruikt):
manage-bde -protectors -add c: -TPM
Hiermee wordt de vereiste "TPM en Startupkey" vervangen door een "TPM" -vereiste, waarbij de PIN wordt verwijderd. Uw BitLocker-schijf wordt automatisch ontgrendeld via de TPM van uw computer tijdens het opstarten.
Om te controleren of dit met succes is voltooid, voert u de statusopdracht nogmaals uit:
manage-bde -status c:
Probeer eerst uw computer opnieuw op te starten. Als alles goed werkt en uw computer geen USB-drive nodig heeft om op te starten, kunt u de schijf formatteren of het BEK-bestand verwijderen. Je kunt het ook gewoon op je schijf laten staan - dat bestand zal eigenlijk niets meer doen.
Als u de opstartsleutel verliest of het .bek-bestand van de schijf verwijdert, moet u de BitLocker-herstelcode voor uw systeemstation opgeven. U had ergens veilig moeten opslaan wanneer u BitLocker voor uw systeemstation had ingeschakeld.
Image Credit: Tony Austin / Flickr