So verwenden Sie einen USB-Schlüssel zum Entsperren eines mit BitLocker verschlüsselten PCs
Aktivieren Sie die BitLocker-Verschlüsselung, und Windows entsperrt Ihr Laufwerk jedes Mal automatisch, wenn Sie Ihren Computer mit dem TPM der meisten modernen Computer starten. Sie können jedoch jedes USB-Flashlaufwerk als "Startschlüssel" einrichten, das beim Booten vorhanden sein muss, bevor Ihr Computer das Laufwerk entschlüsseln und Windows starten kann.
Dadurch wird die BitLocker-Verschlüsselung effektiv um die Zwei-Faktor-Authentifizierung erweitert. Wenn Sie Ihren Computer starten, müssen Sie den USB-Schlüssel angeben, bevor er entschlüsselt wird. Dies ist besonders nützlich bei einem kleinen USB-Laufwerk, das Sie an einem Schlüsselbund mit sich führen.
Schritt 1: Aktivieren Sie BitLocker (falls noch nicht geschehen)
Dies erfordert natürlich die BitLocker-Laufwerksverschlüsselung, was bedeutet, dass sie nur mit den Professional- und Enterprise-Editionen von Windows funktioniert. Bevor Sie die folgenden Schritte ausführen, müssen Sie die BitLocker-Verschlüsselung auf Ihrem Systemlaufwerk in der Systemsteuerung aktivieren.
Wenn Sie BitLocker auf einem PC ohne TPM aktivieren möchten, können Sie als Teil des Installationsvorgangs einen USB-Startschlüssel erstellen. Dies wird anstelle des TPM verwendet. Die folgenden Schritte sind nur erforderlich, wenn BitLocker auf Computern mit TPMs aktiviert ist, über die die meisten modernen Computer verfügen.
Wenn Sie eine Home-Version von Windows haben, können Sie BitLocker nicht verwenden. Möglicherweise verfügen Sie stattdessen über die Geräteverschlüsselungsfunktion. Dies funktioniert jedoch anders als bei BitLocker und ermöglicht nicht die Angabe eines Startschlüssels.
Schritt 2: Aktivieren Sie den Startschlüssel im Gruppenrichtlinien-Editor
Nachdem Sie BitLocker aktiviert haben, müssen Sie die Anforderung für den Startschlüssel in der Gruppenrichtlinie von Windows aktivieren. Um den Gruppenrichtlinien-Editor zu öffnen, drücken Sie auf Ihrer Tastatur Windows + R, geben Sie "gpedit.msc" in das Dialogfeld "Ausführen" ein und drücken Sie die Eingabetaste.
Gehen Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> BitLocker-Laufwerkverschlüsselung> Betriebssystemlaufwerke im Gruppenrichtlinienfenster.
Doppelklicken Sie im rechten Fensterbereich auf die Option "Zusätzliche Authentifizierung beim Start erforderlich".
Wählen Sie oben im Fenster „Enabled“ aus. Klicken Sie dann auf das Kästchen unter "TPM-Startschlüssel konfigurieren" und wählen Sie die Option "Startschlüssel mit TPM erforderlich" aus. Klicken Sie auf "OK", um Ihre Änderungen zu speichern.
Schritt 3: Konfigurieren Sie einen Startschlüssel für Ihr Laufwerk
Sie können jetzt die Manage-Bde
Befehl zum Konfigurieren eines USB-Laufwerks für das mit BitLocker verschlüsselte Laufwerk.
Stecken Sie zuerst ein USB-Laufwerk in Ihren Computer. Beachten Sie den Laufwerksbuchstaben des USB-Laufwerks-D: in der Abbildung unten. Windows speichert eine kleine .bek-Datei auf der Festplatte, und so wird sie zum Startschlüssel.
Starten Sie anschließend ein Eingabeaufforderungsfenster als Administrator. Klicken Sie unter Windows 10 oder 8 mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie "Eingabeaufforderung (Admin)". Suchen Sie unter Windows 7 die Verknüpfung "Eingabeaufforderung" im Startmenü, klicken Sie mit der rechten Maustaste darauf und wählen Sie "Als Administrator ausführen".
Führen Sie den folgenden Befehl aus. Der folgende Befehl funktioniert auf Ihrem Laufwerk C:. Wenn Sie einen Startschlüssel für ein anderes Laufwerk benötigen, geben Sie statt dessen den Laufwerksbuchstaben ein c:
. Sie müssen auch den Laufwerksbuchstaben des angeschlossenen USB-Laufwerks eingeben, das Sie als Startschlüssel verwenden möchten x:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
Der Schlüssel wird auf dem USB-Laufwerk als versteckte Datei mit der Dateierweiterung .bek gespeichert. Sie können es sehen, wenn Sie versteckte Dateien anzeigen.
Sie werden beim nächsten Start Ihres Computers aufgefordert, das USB-Laufwerk einzulegen. Seien Sie vorsichtig mit dem Schlüssel, der die Kopie des Schlüssels von Ihrem USB-Laufwerk kopiert, um das mit BitLocker verschlüsselte Laufwerk zu entsperren.
Um zu überprüfen, ob der Protector TPMAndStartupKey ordnungsgemäß hinzugefügt wurde, können Sie den folgenden Befehl ausführen:
manage-bde -status
(Der hier angezeigte Schlüsselschutz „Numerical Password“ ist Ihr Wiederherstellungsschlüssel.)
So entfernen Sie die Anforderung für den Startschlüssel
Wenn Sie Ihre Meinung ändern und den Startschlüssel später nicht mehr benötigen, können Sie diese Änderung rückgängig machen. Gehen Sie zunächst zurück zum Gruppenrichtlinien-Editor und ändern Sie die Option zurück zu "Startschlüssel mit TPM zulassen". Sie können die Option nicht auf "Startschlüssel mit TPM erforderlich" setzen, da Windows die Startschlüsselanforderung nicht aus dem Laufwerk entfernen kann.
Öffnen Sie anschließend ein Eingabeaufforderungsfenster als Administrator und führen Sie den folgenden Befehl aus (erneut Ersetzen) c:
wenn Sie ein anderes Laufwerk verwenden):
manage-bde -protectors -add c: -TPM
Dadurch wird die Anforderung „TPMandStartupKey“ durch eine Anforderung „TPM“ ersetzt, wodurch die PIN gelöscht wird. Ihr BitLocker-Laufwerk wird beim Booten automatisch über das TPM Ihres Computers entsperrt.
Um zu überprüfen, ob dies erfolgreich abgeschlossen wurde, führen Sie den Statusbefehl erneut aus:
manage-bde -status c:
Versuchen Sie zuerst, Ihren Computer neu zu starten. Wenn alles einwandfrei funktioniert und Ihr Computer kein USB-Laufwerk zum Booten benötigt, können Sie das Laufwerk formatieren oder die BEK-Datei löschen. Sie können es auch einfach auf Ihrer Festplatte lassen - diese Datei macht eigentlich nichts mehr.
Wenn Sie den Startschlüssel verlieren oder die .bek-Datei vom Laufwerk löschen, müssen Sie den BitLocker-Wiederherstellungscode für Ihr Systemlaufwerk angeben. Sie sollten an einem sicheren Ort gespeichert haben, als Sie BitLocker für Ihr Systemlaufwerk aktiviert haben.
Bildnachweis: Tony Austin / Flickr