Cela ajoute effectivement une authentification à deux facteurs au chiffrement BitLocker. Chaque fois que vous démarrez votre ordinateur, vous devrez fournir la clé USB avant de la déchiffrer. Cela serait particulièrement utile avec un petit lecteur USB que vous emportez avec un trousseau.
Première étape: activez BitLocker (si vous ne l’avez pas déjà fait)
Si vous vous efforcez d'activer BitLocker sur un PC sans TPM, vous pouvez choisir de créer une clé de démarrage USB dans le cadre du processus d'installation. Ceci sera utilisé à la place du TPM. Les étapes ci-dessous ne sont nécessaires que lorsque vous activez BitLocker sur des ordinateurs dotés de TPM, comme le sont la plupart des ordinateurs modernes.
Si vous avez une version Home de Windows, vous ne pourrez pas utiliser BitLocker. Vous pouvez utiliser la fonctionnalité de chiffrement de périphérique à la place, mais cela fonctionne différemment de BitLocker et ne vous permet pas de fournir une clé de démarrage.
Étape 2: Activer la clé de démarrage dans l'éditeur de stratégie de groupe
Une fois BitLocker activé, vous devez activer la clé de démarrage requise dans la stratégie de groupe de Windows. Pour ouvrir l'éditeur de stratégie de groupe, appuyez sur Windows + R sur votre clavier, tapez «gpedit.msc» dans la boîte de dialogue Exécuter, puis appuyez sur Entrée.
Allez dans Configuration ordinateur> Modèles d'administration> Composants Windows> Cryptage de lecteur BitLocker> Lecteurs de système d'exploitation dans la fenêtre Stratégie de groupe.
Double-cliquez sur l'option «Requérir une authentification supplémentaire au démarrage» dans le volet de droite.
Troisième étape: configurer une clé de démarrage pour votre lecteur
Vous pouvez maintenant utiliser le
manage-bde
commande pour configurer un lecteur USB pour votre lecteur chiffré par BitLocker.
Commencez par insérer un lecteur USB dans votre ordinateur. Notez la lettre du lecteur USB – D: dans la capture d'écran ci-dessous. Windows enregistre un petit fichier.bek sur le lecteur et c’est ainsi qu’il deviendra votre clé de démarrage.
Exécutez la commande suivante. La commande ci-dessous fonctionne sur votre lecteur C: si vous souhaitez exiger une clé de démarrage pour un autre lecteur, entrez sa lettre de lecteur au lieu de
c:
. Vous devez également saisir la lettre du lecteur USB que vous souhaitez utiliser comme clé de démarrage au lieu de
x:
manage-bde -protectors -add c: -TPMAndStartupKey x:
manage-bde -status
(Le protecteur de clé «Mot de passe numérique» affiché ici est votre clé de récupération.)
Comment supprimer l'exigence de clé de démarrage
Si vous changez d'avis et que vous ne souhaitez plus utiliser la clé de démarrage ultérieurement, vous pouvez annuler cette modification. Tout d'abord, revenez dans l'éditeur de stratégie de groupe et remplacez l'option par «Autoriser la clé de démarrage avec le TPM». Vous ne pouvez pas laisser l’option définie sur «Requérir une clé de démarrage avec TPM» ou Windows ne vous autorisera pas à supprimer la clé de démarrage requise du lecteur.
c:
si vous utilisez un lecteur différent):
manage-bde -protectors -add c: -TPM
Cela remplacera l'exigence «TPMandStartupKey» par l'exigence «TPM», à savoir la suppression du code PIN. Votre lecteur BitLocker sera automatiquement déverrouillé via le TPM de votre ordinateur lorsque vous démarrez.
manage-bde -status c:
Si vous perdez la clé de démarrage ou supprimez le fichier.bek du lecteur, vous devez fournir le code de récupération BitLocker pour votre lecteur système. Vous devriez avoir sauvegardé quelque part en toute sécurité lorsque vous avez activé BitLocker pour votre lecteur système.
