Jak skutecznie zaszyfrować komputer funkcją Bitlocker z modułem TPM + PIN
Jeśli szyfrowanie funkcją Bitlocker z modułem TPM i Pinem Windows nie jest dla nas wystarczająco bezpieczne, możemy pokusić się o włącznie PINU bezpośrednio przy starcie modułu TPM.
Co jeśli włączymy moduł PIN+ TPM i wyskakuje nam komunikat:
Ustawienia zasad grupy opcji uruchamiania programu bitlocker powodują konflikt i nie można ich użyć. Skontaktuj się z administratorem systemu, aby uzyskać więcej informacji.
Rozwiązanie wygląda następująco:
Start -> uruchom i wpisujemy gpedit.msc
konfiguracja komputer
szablony administracyjne
składniki systemu windows
szyfrowanie dysków funkcją Bitlocker
Dyski z systemem operacynym
Wymagaj dodatkowego uwierzytelnienia przy uruchamianiu
Ważne jest by z pośród wszystkich opcji wybrać tylko jedną. Wówczas nie będzie powodowało to konfliktu. Czyli wszystko wyłączone i włączamy tylko jedną opcję w tym przypadku tylko
Wymagaj startowego kodu PIN z modułem TPM
Teraz możesz zaszyfrować partycję systemową i ukaże się opcja z wyborem PINU.
Pamiętaj zapisać sobie hasło odzyskiwania na jakimś nośniku zewnętrznym, którego też możesz zaszyfrować np. już samym hasłem.
Po wybraniu i zaszyfrowaniu dysku nasz komputer przy starcie wywoła ekran do odblokowania PINem. Jest to o tyle bezpieczna metoda, iż PIN można wprowadzić tylko z tego danego komputera. Nie można dysku przełożyć do innego urządzenia, bo klucze przechowywane są w module TPM. Przełożenie modułu TPM lub inna zmiana konfiguracji także uniemożliwi rozszyfrowanie. Jedyną opcją jak wspomniałem na początku jest wprowadzenie PINu przy starcie systemu, dlatego zadbajmy o to by miał trochę więcej niż 4 znaki. Również w tym przypadku moduł TPM pomaga, bo po wpisaniu błędnie PINu kilkanaście razy, czas do wklepywania następnych kombinacji wydłuża się.
How to successfully encrypt your computer with Bitlocker with TPM + PIN
What if we turn on the PIN + TPM module and the message pops up:
The Group Policy settings for Bitlocker startup options are in conflict and cannot be applied...
Solved:
Computer Configuration, select Administrative Templates, Windows Components, BitLocker Drive Encryption, then click on Operating System Drives. Now on the right side of the screen, double-click "Require additional authentication at startup".
It is important to choose only one of all the options. Then it will not be a conflict. So everything turned off and we only enable one option in this case only Require a startup PIN with TPM module
Now you can encrypt the system partition and an option will appear with a PIN selection.
Remember to write down the recovery password on some external medium, which you can also encrypt, e.g. with the password itself.
After selecting and encrypting the drive, our computer will launch the PIN unlock screen at startup. This is a safe method because the PIN can only be entered from this computer. The disk cannot be moved to another device because the keys are stored in the TPM module. Repositioning the TPM or other reconfiguration will also prevent decryption. The only option, as I mentioned at the beginning, is to enter the PIN at startup, so let's make sure that it has a little more than 4 characters. Also in this case, the TPM module helps, because after entering the PIN incorrectly several times, the time to enter the next combinations is longer.
Komentarze