Главная

Saturday, 16 March 2019

Электронный ключ к вашему компьютеру.

Всем привет.

Как закрыть доступ к своему компьютеру с помощью электронного ключа?

Просто. До версии Windows 10 существовала штатная утилита syskey, которая после несложных манипуляций записывала вам на флешку файлик, который и являлся электронным ключом. Вставлена флешка при включении - система доступна, а если нет - то недоступна.

В Windows 10 утилита syskey отсутствует. Все построено на сервисе шифрования дисков BitLocker. Плюс к этому ваш ПК должен поддерживать модуль ТРМ  не ниже версии 1.2. Trusted Platform Module (TPM), содержащий в себе криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи, так и для шифрования/дешифрования) с той же степенью неповторяемости, что и генератор случайных чисел. 

Поэтому в Windows 10 операция по созданию электронного ключа происходит в три этапа.

Первое, и это естественно, надо включить сам BitLocker для системного диска, например для "С".

Второе, это включить поддержку BitLocker в групповых политиках Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives in the Group Policy window. Двойной клик на "Require Additional Authentication at startup".


И наконец третье. Что еще? Да, вот я долго сам искал фишку почему мой ключ не работает пока не наступил на это третье.


В командной строке от имени Администратора выполним следующее:
manage-bde -protectors -add c: -TPMAndStartupKey x:
где x - буква диска вашей флешки.


Проверка состояния ТРМ для системного диска:
manage-bde -status c:


Снятие защиты ОС вашего ПК с помощью ТРМ:
manage-bde -protectors -add c: -TPM

Ключ записывается на вашу флешку в виде обыкновенного скрытого файла с расширением "ВЕК".

Последует логичный вопрос - что делать если флешка потерялась или запортилась?

Отвечу просто - если вы не создадите предварительно копию секретного ключа или ключ восстановления то труба.
Что это значит? 

Это значит что фаш хитрый файлик с расширением "ВЕК" лучше скопировать еще куда-нибудь, но не забыть куда.

Или в оснастке BitLocker создать ключ восстановления. Ключ восстановления это текстовый файлик приблизительно такого содержания -

Чтобы проверить правильность ключа восстановления, сравните начало следующего идентификатора со значением идентификатора, отображаемым на вашем компьютере.
Идентификатор: 1FF1518B-A96F-41C4-BD19-BDB11C539DEA
Если указанный выше идентификатор совпадает с отображаемым на компьютере, используйте следующий ключ для разблокировки диска.
Ключ восстановления: 549285-602613-237479-236775-564080-456181-575256-525437
Если идентификаторы не совпадают, этот ключ не подходит для разблокировки вашего диска.

Вот та вторая длинная строка из цифр и есть ваша палочка выручалочка в случае потери секретного ключа. Разумеется оба файлика надо надежно беречь ибо любой кто к ним будет иметь доступ сможет ими воспользоваться.

Есть еще опция в BitLocker включить запрос пин-кода (пароля) на секретный файл, но у меня она не сработала. Причину выясняю.

Успехов.


No comments:

Post a Comment

А что вы думаете по этому поводу?