Konfigurer BitLocker-kryptering på ikke-TPM Windows-systemer

Microsofts BitLocker-funktion giver kryptering i fuld mængde til at afhjælpe truslen om datatyveri fra mistede, stjålne eller på anden måde forkert anvendte bærbare computere og computere. Denne funktion er tilgængelig i Enterprise- og Ultimate-versionerne af både Windows Vista og Windows 7, men den kræver, at en Trusted Platform Module (TPM) -chip er både til stede og aktiveret til at kryptere harddiske.

Men hvad gør du, hvis din hardware ikke inkluderer TPM? Jeg stødte på dette problem selv, da jeg besluttede at drage fordel af BitLocker-funktionen i Windows 7. Da jeg først forsøgte at slå funktionen til, blev jeg mødt med en fejlmeddelelse, der sagde, at et Trusted Platform Module ikke var til stede eller ikke var aktiveret i systemet BIOS. Dette tog mig direkte til systemopsætningsværktøjet for at aktivere indstillingerne for TPM. Jeg var lidt chokeret over at finde ud af, at de ikke var tilgængelige.

Efter et stykke tid med at undre mig over, hvorfor producenten af ​​min pc ikke ville inkludere TPM i en pc mærket som "Professional Series", besluttede jeg endelig at grave lidt mere ind i problemet og opdagede, at BitLocker faktisk kan aktiveres på ikke- TPM-systemer.

Konfiguration af lokalpolitiske indstillinger for ikke-TPM-system

Alt, hvad der kræves, er et par justeringer til lokalpolitiske indstillinger, et flashdrev og et par timer for at lade kryptering ske.

Ligesom gruppepolitik i Active Directory tillader lokal politik en bruger at foretage systemdækkende eller kontospecifikke ændringer af indstillinger på en lokal pc.

For at komme i gang skal du åbne Windows 7 Start-menuen og indtaste Gruppepolitik i søgefeltet. Åbn herfra den lokale gruppepolitikeditor, som vist i figur A.

Figur A

Klik for at forstørre.
Indstillinger for lokal politik i Windows 7

For at finde indstillingerne for Bit-Locker skal du navigere til Computerkonfiguration | Administrative skabeloner | Windows-komponenter | Bit-Locker-drevkryptering | Operativsystemdrev.

Når du har valgt Operativsystemdrev i mappelisten, skal du dobbeltklikke på politikindstillingen mærket Kræv yderligere godkendelse ved opstart. Egenskabsvinduet for denne politik vises i figur B. Figur B Klik for at forstørre.
Egenskaber til Kræver yderligere godkendelse ved opstartpolitik

På egenskabssiden skal du vælge den aktiverede indstilling for at tænde for politikken og derefter markere afkrydsningsfeltet under Indstillinger mærket Tillad bitLocker uden en kompatibel TPM. Dette kræver et USB-flashdrev, som BitLocker-nøglen skal gemmes til.

Når du har markeret denne boks, bliver flere andre drop-down muligheder tilgængelige, fordi de alle er relateret til TPM-moduler; du kan ignorere dem, når du konfigurerer denne indstilling.

Når du har konfigureret politikken til at tillade ikke-TPM-godkendelse, skal du klikke på OK for at gemme og lukke politikken.

Bemærk: Når du konfigurerer politikker i Windows 7 og Windows Server 2008, giver dialogboksen plads til at fremsætte kommentarer, der er gemt med denne politik. Jeg vil anbefale, at du tilføjer datoen og dit navn til kommentarfeltet, hvis du har brug for at spore de foretagne ændringer.

Opsætning af BitLocker

De politiske indstillinger, der er diskuteret ovenfor, er en del af processen, så Bit-Locker kan fungere på computere uden TPM-chips. Udfør følgende trin for at aktivere Bit-Locker:

1. Åbn Bit-Locker krypteringsindstillinger manager ved at søge efter Bit Locker eller ved at besøge System og sikkerhed i kontrolpanelet.

2. Når styringsværktøjet åbnes, vil det vise dig alle drev, der er registreret i dit system.

3. Klik på Slå på Bit Locker.

Du bliver bedt om at konfigurere dine BitLocker-indstillinger baseret på de valg, der blev foretaget, da du konfigurerede den lokale politik. I dette tilfælde skal du give en USB-enhed til at gemme BitLocker-nøglen. I figur C beder BitLocker-guiden om USB-drevet, hvor godkendelsesnøglen gemmes. Indsæt enheden, og klik på Næste for at skrive nøglen.

Fig

Gemme starttasten på USB-enheden

Når du klikker på Næste, tilføjes BitLocker-nøglen til flashdrevet, og guiden beder dig om at oprette en gendannelsesnøgle, i tilfælde af at godkendelsesnøglen går tabt.

Bemærk: Det anbefales ikke at gemme gendannelsesnøglen til dit krypterede drev på det krypterede drev, fordi du ikke kan få adgang til det, hvis du mister dit godkendelses-flashdrev.

Når nøglerne er indstillet, vil Bit Locker bede dig om at kryptere operativsystemets disk. Når processen starter, kan du fortsætte med at bruge din computer, som du normalt ville, men afhængigt af størrelsen på drevet, kan krypteringsprocessen tage ret lang tid.

Da jeg krypterede mit bærbare drev, tog det hele otte timer for et drev på 285 GB i størrelse.

Når processen er afsluttet, skal du genstarte din computer for at begynde at bruge det krypterede drev; så snart du genstarter, har du brug for din godkendelsesnøgle for at få adgang til dit system. Dette fungerer på samme måde som et system med en TPM-chip, medmindre du bliver nødt til at indsætte USB-flashdrevet for at starte computeren.

Jeg har fundet, at dette er særlig nyttigt til bærbare computere, da de har størst sandsynlighed for at gå tabt eller stjålet. Når BitLocker er i brug, en godt beskyttet nøgle og en anstændig sikkerhedskopi af dine data, kan du være sikker på, at dine oplysninger er sikre.

© Copyright 2021 | pepebotifarra.com