你现在的位置:首页-技术文献-U 盘-Win11怎么用U盘做物理安全密钥

Win11怎么用U盘做物理安全密钥

2022-03-02 16:16:53 来源:系统总裁 作者:Bill 分类:U 盘

启用 BitLocker 加密的 Windows,在每次系统开机时都会使用内置的 TPM 芯片对系统分区进行自动解密。通过手动配置,用户还可以将 U 盘制作成启动密钥,只有在系统启动前插入正确 U 盘才能对磁盘解密,并启动 Windows,这样一来我们便有效为 BitLocker 变相添加了一重硬件级别的双因素身份认证。


步骤一:启用BitLocker加密


1、首先,按 Win + S 组合键,或点击底部任务栏上的搜索图标。Windows 搜索窗口,顶部搜索框中,输入控制面板,然后点击打开系统给出的最佳匹配控制面板应用;


控制面板


2、控制面板窗口,类别查看方式下,点击调整计算机的设置下的系统和安全;


系统和安全


3、系统和安全窗口,找到并点击BitLocker 驱动器加密;


BitLocker 驱动器加密


4、BitLocker 驱动器加密窗口,将C盘,也就是系统盘,启用 BitLocker;


启用 BitLocker


5、启用 BitLocker成功,会显示C: BitLocker 已启用;


C: BitLocker 已启用


默认情况下,Windows 系统分区会在系统启动时自动使用 TPM 芯片中存储的解密密钥进行解决并启动系统。如果你的计算机没有 TPM 芯片,可以对非系统磁盘使用 U 盘存放加密密钥以取代 TPM 芯片的作用。


步骤二:本地组策略编辑器设置


1、首先,按 Win + S 组合键,或点击底部任务栏上的搜索图标。Windows 搜索窗口,顶部搜索框中,输入本地组策略编辑器,然后点击打开系统给出的最佳匹配编辑组策略控制面板;


本地组策略编辑器


2、本地组策略编辑器窗口,左侧边栏点击计算机配置下的管理模板,右侧双击Windows 组件;


管理模板


3、双击进入BitLocker 驱动器加密;


BitLocker 驱动器加密


4、双击进入操作系统驱动器;


操作系统驱动器


5、最后双击启动时需要附加身份验证;


启动时需要附加身份验证


6、启动时需要附加身份验证窗口,选择已启用,并将配置 TPM 启动密钥下面的选项,改为有 TPM 时需要启动密钥,再点击确定保存;


配置 TPM 启动密钥


步骤三:使用manage-bde命令


1、首先,按 Win + X 组合键,或右键点击底部任务栏上的Windows 徽标。在打开的隐藏菜单项中,选择Windows 终端 (管理员);


Windows 终端 (管理员)


2、管理员: Windows PowerShell窗口,输入并按回车执行以下命令:


manage-bde -protectors -add c: -TPMAndStartupKey F:


命令参数代表的意思:


c: 代表 Windows 系统所处分区的盘符

F: 代表 U 盘的盘符


管理员: Windows PowerShell


3、配置完成后,当 Windows 下次启动时,便会要求插入制作好的 U 盘用于解密 BitLocker 加密的系统分区。此后,才能正常启动操作系统;


插入包含 BitLocker 密钥的 U 盘


要查看 TPM 启动密钥 是否正确添加,可以使用这条命令:manage-bde –status


移除启动密钥方法

要移除 TPM 启动密钥 并恢复到 Windows 原有的自解密状态也非常简单,只需按前面步骤,将相同组策略路径中的配置 TPM 启动密钥更改为有 TPM 时允许启动密钥后,点击确定,再用 manage-bde -protectors -add c: -TPM 命令,将密钥重新写回 TPM 芯片即可。


相关推荐
Win11怎么用U盘做物理安全密钥