Bật mã hóa BitLocker và Windows sẽ tự động mở khóa ổ đĩa của bạn mỗi khi bạn khởi động máy tính bằng TPM được tích hợp trong hầu hết các máy tính hiện đại. Nhưng bạn có thể thiết lập bất kỳ ổ đĩa flash USB nào làm “khóa khởi động” phải có khi khởi động trước khi máy tính của bạn có thể giải mã ổ đĩa và khởi động Windows.
Điều này bổ sung một cách hiệu quả xác thực hai yếu tố vào mã hóa BitLocker. Bất cứ khi nào khởi động máy tính, bạn cần cung cấp khóa USB trước khi nó được giải mã. Sau đây là cách thiết lập và cài đặt từ Followeek.
Bước 1: Bật BitLocker (Nếu bạn chưa có)
Điều này, rõ ràng, yêu cầu mã hóa ổ đĩa BitLocker, có nghĩa là nó chỉ hoạt động trên các phiên bản Windows Professional và Enterprise. Trước khi có thể làm theo bất kỳ bước nào bên dưới, bạn cần bật mã hóa BitLocker trên ổ đĩa hệ thống của mình từ Bảng điều khiển.
Nếu bạn cố gắng bật BitLocker trên PC không có TPM, bạn có thể chọn tạo khóa khởi động USB như một phần của quá trình thiết lập. Điều này sẽ được sử dụng thay vì TPM. Các bước dưới đây chỉ cần thiết khi bật BitLocker trên máy tính có TPM mà hầu hết các máy tính hiện đại đều có.
Nếu bạn có phiên bản Home của Windows, bạn sẽ không thể sử dụng BitLocker. Thay vào đó, bạn có thể có tính năng Mã hóa thiết bị, nhưng tính năng này hoạt động khác với BitLocker và không cho phép bạn cung cấp khóa khởi động.
Bước 2: Bật Startup Key trong Group Policy Editor
Khi bạn đã bật BitLocker, bạn sẽ cần kích hoạt yêu cầu khóa khởi động trong chính sách nhóm của Windows. Để mở Group Policy Editor, hãy nhấn Windows + R trên bàn phím, nhập “gpedit.msc” vào hộp thoại Run và nhấn Enter.
Đi tới Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives trong cửa sổ Group Policy.
Nhấp đúp vào tùy chọn “Require Additional Authentication at startup” trong ngăn bên phải.
Chọn “Enabled” ở đầu cửa sổ tại đây. Sau đó, nhấp vào hộp bên dưới “Configure TPM Startup Key” và chọn tùy chọn “Require Startup Key With TPM”. Nhấp vào “OK” để lưu các thay đổi của bạn.
Bước 3: Định cấu hình khóa khởi động cho ổ của bạn
Bây giờ bạn có thể sử dụng lệnh manage-bde để định cấu hình ổ USB cho ổ được mã hóa BitLocker của bạn.
Đầu tiên, cắm ổ USB vào máy tính của bạn. Lưu ý ký tự ổ đĩa của ổ USB – D: trong ảnh chụp màn hình bên dưới. Windows sẽ lưu một tệp .bek nhỏ vào ổ đĩa và đó là cách nó sẽ trở thành khóa khởi động của bạn.
Tiếp theo, khởi chạy cửa sổ Command Prompt với tư cách Quản trị viên. Trên Windows 10 hoặc 8, nhấp chuột phải vào nút Bắt đầu và chọn “Command Prompt (Admin)”. Trên Windows 7, tìm lối tắt “Command Prompt” trong menu Start, nhấp chuột phải vào nó và chọn “Run as Administrator”
Chạy lệnh sau. Lệnh dưới đây hoạt động trên ổ C: của bạn, vì vậy nếu bạn muốn yêu cầu khóa khởi động cho ổ khác, hãy nhập ký tự ổ của nó thay vì c: . Bạn cũng sẽ cần nhập ký tự ổ đĩa của ổ USB được kết nối mà bạn muốn sử dụng làm khóa khởi động thay vì x: .
manage-bde -protectors -add c: -TPMAndStartupKey x:
Khóa sẽ được lưu vào ổ USB dưới dạng tệp ẩn với phần mở rộng là tệp .bek. Bạn có thể thấy nó nếu bạn hiển thị các tệp ẩn.
Bạn sẽ được yêu cầu cắm ổ USB vào lần khởi động máy tính tiếp theo. Hãy cẩn thận với khóa – ai đó sao chép khóa từ ổ USB của bạn có thể sử dụng bản sao đó để mở khóa ổ đĩa được mã hóa BitLocker của bạn.
Để kiểm tra kỹ xem trình bảo vệ TPMAndStartupKey đã được thêm đúng cách hay chưa, bạn có thể chạy lệnh sau:
manage-bde -status
(Bộ bảo vệ khóa “Mật khẩu số” được hiển thị ở đây là khóa khôi phục của bạn.)
Cách xóa yêu cầu khóa khởi động
Nếu bạn thay đổi quyết định và muốn ngừng yêu cầu khóa khởi động sau đó, bạn có thể hoàn tác thay đổi này. Đầu tiên, quay lại trình chỉnh sửa Group Policy và thay đổi tùy chọn trở lại thành “Allow Startup Key With TPM”. Bạn không thể đặt tùy chọn thành “Require Startup Key With TPM” hoặc Windows sẽ không cho phép bạn xóa yêu cầu khóa khởi động khỏi ổ đĩa.
Tiếp theo, mở cửa sổ Command Prompt với tư cách Quản trị viên và chạy lệnh sau (một lần nữa, thay thế c: nếu bạn đang sử dụng một ổ đĩa khác):
manage-bde -protectors -add c: -TPM
Điều này sẽ thay thế yêu cầu “TPMandStartupKey” bằng yêu cầu “TPM”, xóa mã PIN. Ổ BitLocker của bạn sẽ tự động mở khóa thông qua TPM của máy tính khi bạn khởi động.
Để kiểm tra xem việc này đã hoàn tất thành công chưa, hãy chạy lại lệnh trạng thái:
manage-bde -status c:
Trước tiên, hãy thử khởi động lại máy tính của bạn. Nếu mọi thứ hoạt động bình thường và máy tính của bạn không yêu cầu ổ USB khởi động, bạn có thể tự do định dạng ổ đĩa hoặc chỉ cần xóa tệp BEK. Bạn cũng có thể để nó trên ổ đĩa của mình – tệp đó sẽ không thực sự hoạt động được nữa.
Followeek đã mang tới đáp án cho câu hỏi của bạn chưa? Hãy để chúng tôi biết thêm cảm nhận của bạn ở dưới phần comment nhé!
Để lại một phản hồi