Фон
По умолчанию Microsoft BitLocker не позволяет пользователю включать полное шифрование диска (FDE) на системном диске, если на ПК не установлен совместимый TPM.
Однако если включен параметр "Разрешить BitLocker без совместимого доверенного платформенного модуля" (в разделе « Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Шифрование диска BitLocker -> Диски операционной системы -> Требовать дополнительную аутентификацию при запуске), то BitLocker». Мастер разрешит FDE системного диска. Если это будет сделано, то в одном из диалоговых окон мастера под названием "Выбрать способ разблокировки диска при запуске" пользователю потребуется выбрать один из двух альтернативных механизмов аутентификации:
- Вставьте флешку;
- Введите пароль.
Если пользователь выбирает «Вставить USB-накопитель», то, как правило, мастер генерирует « ключ запуска » и запрашивает USB-накопитель, на который его можно записать.
(Идея состоит в том, что при желании загрузить ПК в будущем пользователь сначала вставит этот USB-накопитель в ПК, а затем включит ПК. Затем загрузчик Windows прочитает ключ запуска с флэш-накопителя, чтобы расшифруйте системный диск перед загрузкой Windows. Я знаю людей, которые делают это на практике, и это хорошо работает. Для получения дополнительной информации см., Например, это и это.)
Мой вопрос
При шифровании диска с помощью BitLocker, чтобы потребовать ключ запуска, пользователь может указать свой собственный ключ запуска (например, если он ранее сгенерировал его с помощью мастера и хочет использовать его на дополнительных компьютерах), или он должен принять ключ, сгенерированный мастером BitLocker?
В качестве альтернативы, если она должна принять ключ, созданный мастером BitLocker (по крайней мере, во время работы мастера), то в качестве обходного пути, сможет ли она позже заменить его предпочитаемым ключом запуска? Возможно, через интерфейс управления ключами BitLocker?