Isso efetivamente adiciona autenticação de dois fatores à criptografia do BitLocker. Sempre que você iniciar seu computador, precisará fornecer a chave USB antes de ser descriptografada. Isso seria particularmente útil com uma pequena unidade USB que você carrega em um chaveiro.
Etapa 1: habilitar o BitLocker (se você não tiver já)
Se você se esforçar para habilitar o BitLocker em um PC sem um TPM, poderá optar por criar uma chave de inicialização USB como parte do processo de instalação. Isso será usado em vez do TPM. As etapas abaixo são necessárias somente ao habilitar o BitLocker em computadores com TPMs, o que a maioria dos computadores modernos possui.
Se você tiver uma versão inicial do Windows, não poderá usar o BitLocker. Você pode ter o recurso Criptografia de dispositivo, mas isso funciona de maneira diferente do BitLocker e não permite fornecer uma chave de inicialização.
Etapa dois: ativar a chave de inicialização no editor de diretiva de grupo
Depois de ativar o BitLocker, você precisará ativar o requisito de chave de inicialização na política de grupo do Windows. Para abrir o Editor de Diretiva de Grupo, pressione Windows + R no teclado, digite “gpedit.msc” na caixa de diálogo Executar e pressione Enter.
Vá até Configuração do Computador> Modelos Administrativos> Componentes do Windows> Criptografia de Unidade de Disco BitLocker> Unidades do Sistema Operacional na janela Diretiva de Grupo.
Clique duas vezes na opção “Exigir autenticação adicional na inicialização” no painel direito.
Selecione "Ativado" no topo da janela aqui. Em seguida, clique na caixa em “Configurar a chave de inicialização do TPM” e selecione a opção “Exigir chave de inicialização com o TPM”. Clique em "OK" para salvar suas alterações.
Etapa 3: configurar uma chave de inicialização para seu disco
Agora você pode usar o
manage-bde
comando para configurar uma unidade USB para sua unidade criptografada pelo BitLocker.
Primeiro, insira uma unidade USB no seu computador. Observe a letra da unidade USB - D: na imagem abaixo. O Windows salvará um pequeno arquivo.bek na unidade e é assim que ele se tornará sua chave de inicialização.
Execute o seguinte comando. O comando abaixo funciona na sua unidade C:, portanto, se você quiser exigir uma chave de inicialização para outra unidade, insira a letra da unidade em vez de
c:
. Você também precisará inserir a letra da unidade USB que deseja usar como chave de inicialização, em vez de
x:
manage-bde -protectors -add c: -TPMAndStartupKey x:
manage-bde -status
(O protetor de tecla “Senha Numérica” exibido aqui é sua chave de recuperação).
Como remover o requisito da chave de inicialização
Se você mudar de ideia e quiser interromper a solicitação da chave de inicialização mais tarde, poderá desfazer essa alteração. Primeiro, volte para o editor de Diretiva de Grupo e altere a opção de volta para “Permitir chave de inicialização com TPM”. Você não pode deixar a opção definida como "Exigir chave de inicialização com TPM" ou o Windows não permitirá que você remova o requisito de chave de inicialização da unidade.
c:
se você estiver usando uma unidade diferente):
manage-bde -protectors -add c: -TPM
Isso substituirá o requisito "TPMandStartupKey" por um requisito "TPM", excluindo o PIN. Sua unidade do BitLocker será desbloqueada automaticamente pelo TPM do seu computador quando você inicializar.
manage-bde -status c:
Se você perder a chave de inicialização ou excluir o arquivo.bek da unidade, precisará fornecer o código de recuperação do BitLocker para a unidade do sistema. Você deve ter salvo em algum lugar seguro quando habilitou o BitLocker para a sua unidade do sistema.