Sử dụng USB để mở khóa tính năng BitLocker-Encrypted trên máy tính Windows

Như đã từng nói đến ở các bài viết trước, Windows 10 cung cấp cho người dùng nhiều kiểu mã hóa dữ liệu khác nhau, trong đó Encrypting File System (EFS) và BitLocker là 2 tính năng được sử dụng nhiều nhất. Nhưng có lẻ BitLocker là nổi tiếng hơn cả vì nó đã có mặt trên Windows kể từ phiên bản Windows 7.

Khi được kích hoạt, BitLocker sẽ tiến hãnh mã hóa và chỉ mở khóa ổ đĩa mỗi khi khởi động lại máy tính bằng cách sử dụng chip nhớ TPM (Trusted Platform Module) làm bộ phận giải mã. Tuy nhiên, nếu thích, bạn vẫn có thể sử dụng một thiết bị USB để làm “chìa khóa” khởi động để Windows giải mã ổ đĩa và khởi động hệ thống.

Điều này có nghĩa là bạn đã thiết lập một vòng xác thực 2 bước cho BitLocker. Tức là mỗi lần khởi động máy tính, bạn cần phải cắm USB vào máy để hệ thống tiến hãnh giải mã ổ đĩa mà bạn đã mã hóa bằng BitLocker, khi đó Windows mới có thể khởi động được. Phương pháp này khá hay và có thể áp dụng vào trong môi trường làm việc cần sự bảo mật dữ liệu cao, và nếu bạn quan tâm, sau đây sẽ là hướng dẫn thực hiện.

Hướng dẫn sử dụng USB làm chìa khóa giải mã BitLocker để khởi động Windows

Trước tiên, bạn cần kích hoạt tính năng BitLocker trên phân vùng hệ thống của Windows bằng cách mở File Explorer lên và nhấn phải chuột vào phân vùng ổ đĩa “C” rồi chọn lệnh Turn on BitLocker.

Nếu thấy hộp thoại như sau xuất hiện, tức là máy tính của bạn không được trang bị chip TPM.

Nhưng không sao, bạn hãy nhập lệnh “gpedit.msc” vào hộp thoại RUN và nhấn phím ENTER để gọi hộp thoại Local Computer Policy Editor.

Trong Local Computer Policy Editor, bạn hãy tìm đến đường dẫn sau và nhấn đôi chuột vào tùy chọn “Require additional authentication at startup”.

Computer Configuration \ Administrative Templates \ Windows Components \ Bit Locker Drive Encryption \ Operating System Drives

Hộp thoại thiết lập xuất hiện, bạn hãy đánh dấu vào lựa chọn “Enable” và “Allow BitLocker without a compatible TPM” rồi nhấn Apply > OK để lưu lại.

Bây giờ bạn hãy quay lại bước đầu và thực hiện chọn lại lệnh Turn on BitLocker. Khi đó thông báo lỗi sẽ không còn xuất hiện và bạn sẽ thấy tùy chọn Next xuất hiện, hãy nhấn vào nó.

Tiếp theo bạn hãy chờ ít phút để BitLocker tiến hành xem xét lại phân vùng hệ thống mà bạn chọn mã hóa.

Khi đã kiểm tra xong, BitLocker sẽ yêu cầu bạn khởi động lại Windows.

Và khi Windows đã khởi động lại xong, hộp thoại BitLocker sẽ xuất hiện. Bạn hãy cắm USB vào máy tính và nhấn Next.

Tiếp theo BitLocker sẽ cung cấp cho bạn 2 lựa chọn, bao gồm thiết lập mật khẩu (Enter a password) và sử dụng USB để làm “chìa khóa” (Insert a USB flash drive).

Khi đó BitLocker sẽ quét các ổ đĩa USB đang kết nối với máy tính và hiển thị để bạn lựa chọn. Khi đã chọn xong, hãy nhấn Save.

Tiếp theo bạn hãy nhấn vào lựa chọn Save to a USB flash drive.

Hộp thoại lựa chọn thiết bị USB để làm chìa khóa lại xuất hiện. Hãy chọn ổ đĩa bạn muốn và nhấn Save.

Tiếp theo bạn hãy đánh dấu vào dòng “Encrypt used disk space only” và nhấn Next.

Sau đó bạn hãy đánh dấu tiếp vào dòng “New encryption mode” và nhấn Next.

Tiếp theo sẽ là “Run BitLocker system check” rồi nhấn Continue.

Hộp thoại yêu cầu khởi động lại sẽ xuất hiện.

Sau khi khởi động lại Windows, quá trình mã hóa của BitLocker sẽ bắt đầu.

Và khi hoàn thành việc mã hóa, bạn sẽ thấy biểu tượng phân vùng hệ thống sẽ có thêm biểu tượng hình ổ khóa.

Công việc bây giờ của bạn là nhấn phải chuột vào nút Start và chọn Command Prompt (Admin). Sau đó nhập vào lệnh sau, trong đó “c” là kí tự phân vùng ổ đĩa vừa mã hóa và “d” là ký tự ổ USB mà bạn chọn làm “chìa khóa” giải mã ở trên và nhấn phím ENTER.

manage-bde -protectors -add c: -TPMAndStartupKey d:

Khi đó Windows sẽ tiến hành thêm vào ổ USB của bạn một tập tin có định dạng BEK với chức năng “mở khóa”.

Thế là xong, kể từ bây giờ, mỗi khi khởi động Windows, bạn sẽ được yêu cầu cắm USB “chìa khóa” vào để Windows khởi động BitLocker và giải mã phân vùng hệ thống. Khi đó Windows mới khởi động được.

Hủy kích hoạt

Nếu bạn đã “chán”, bạn có thể hủy các thiết lập ở trên bằng cách mở lại tùy chọn “Allow BitLocker without a compatible TPM” và lựa chọn “Require Startup Key With TPM” như hình dưới.

Sau đó nhập lệnh sau vào Command Prompt.

manage-bde -protectors -add c: -TPM

Sau đó khởi động lại Windows là xong.