如果要加密已安裝 Windows 的磁碟機 (作業系統磁碟機),BitLocker 會將本身的加密和解密金鑰存放在硬碟以外的硬體裝置上,因此您必須具備下列其中一種裝置:
- 配備信賴平台模組 (TPM) 的電腦,而 TPM 是一種特殊微晶片,許多電腦中都有這種微晶片,可支援進階的安全性功能。如果您的電腦配備了 TPM 1.2 版或更新版本,則 BitLocker 會將它的金鑰存放在 TPM 中。
- 卸除式 USB 記憶體裝置,如 USB 隨身碟。如果您的電腦沒有配備 TPM 1.2 版或更新版本,則 BitLocker 會將它的金鑰存放在隨身碟中。只有在您的系統管理員已將網路設定為允許使用啟動金鑰而非 TPM 時,才會提供此選項。
查看您的電腦是否具備信賴平台模組 (TPM) 安全性硬體:
按一下以開啟 [BitLocker 磁碟機加密]。
在左窗格中,按一下 [TPM 系統管理]。 如果提示您輸入系統管理員密碼或確認,請輸入密碼或提供確認資訊。
[本機電腦上的信賴平台模組 (TPM) 管理] 嵌入式管理單元會告訴您,您的電腦上是否配備 TPM 安全性硬體。如果電腦上沒有此硬體,您將需要卸除式 USB 記憶體裝置來開啟 BitLocker,並儲存啟動電腦時所需的 BitLocker 啟動金鑰。
如果不符合第一項,將收到以下錯誤:
此電腦上必須有相容的信賴平台模組 (TPM) 安全性裝置,但是找不到 TPM。請連絡系統管理員以啟用 BitLocker。
這個時候我們可以使用方法二:
BitLocker 也可以用來保護沒有相容 TPM 安全性硬體之電腦的作業系統磁碟機。在此情況下,使用者必須在啟動電腦之前,將含有 BitLocker 啟動金鑰的 USB 快閃磁碟機插入電腦。若要在沒有 TPM 的情況下使用 BitLocker,您的電腦系統 BIOS 必須支援在初期啟動程序期間使用 USB 快閃磁碟機。
BIOS 包括具備 TCG(Trusted Computing Group) 相容,並支援 USB 儲存裝置存取,可在作業系統開機前,讓系統在隨身碟上讀取與寫入 BitLocker 所需的相關檔案。
還須至少擁有兩個 NTFS 磁碟分割區:
作業系統磁碟分割 (包含 Windows) 和系統磁碟分割 (包含啟動電腦所需的檔案,而且至少必須有 100 MB)。作業系統磁碟分割將會加密,而系統磁碟分割將維持未加密,如此才能啟動您的電腦,而後者預設不給予磁碟機代號。若您的電腦沒有兩個磁碟分割,則 BitLocker 將會為您建立。這兩個磁碟分割都必須使用 NTFS 檔案系統來格式化。
最後必須先修改 [啟動時需要額外驗證] 群組原則設定:
依預設,當您從 [控制台] 或 [Windows 檔案總管] 對作業系統磁碟機啟動 BitLocker 安裝精靈時,它將先檢查有無相容 TPM 再啟用 BitLocker。若要在沒有相容 TPM 的電腦上使用 BitLocker,您必須修改 [啟動時需要額外驗證] 群組原則設定,並選取 [在不含相容 TPM 的情形下允許使用 BitLocker] 核取方塊。這樣可以讓 BitLocker 使用 USB 磁碟機上的金鑰資訊來加密磁碟機內容。當磁碟機使用這個方法加密時,您必須在每次電腦啟動時插入 USB 金鑰,以驗證您有權存取磁碟機的內容。
本機群組原則 > 系統管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機 > 啟動時需要額外驗證 > 在不含相容 TPM 的情形下允許使用 BitLocker
之後再對系統分割區使用 [BitLocker 磁碟機加密] ,然後選取存放驗證金鑰的隨身碟,
之後會在隨身碟根目錄建立 2 個檔案:
XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.BEK 的啟動金鑰。(唯讀、隱藏、系統檔)
BitLocker 修復金鑰 XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.TXT 的忘記密碼修復金鑰。(唯讀檔)
參考:
Windows 說明及支援 - BitLocker 磁碟機加密的硬體需求
Windows 說明及支援 - 我要如何才能知道我的 BIOS 是否支援 BitLocker 磁碟機加密?
Windows 說明及支援 - 使用 BitLocker 磁碟機加密協助保護您的檔案
沒有留言:
張貼留言