背景
默认情况下,Microsoft BitLocker不允许用户启用系统磁盘的完整磁盘加密(FDE),除非PC具有兼容的TPM。
但是,如果打开“允许没有兼容TPM的BitLocker”选项(在“ 计算机配置” - >“管理模板” - >“Windows组件” - >“BitLocker驱动器加密” - >“操作系统驱动器” - >“启动时需要其他身份验证”),则BitLocker 向导将允许系统磁盘的FDE。如果这样做,那么向导的一个对话框标题为“选择如何在启动时解锁你的驱动器”,将要求用户在两种备选认证机制之间进行选择:
- 插入USB闪存盘;
- 输入密码。
如果用户选择“插入USB闪存驱动器”,则通常向导将生成“ 启动密钥 ”并将要求写入USB闪存驱动器。
(想法是,当将来想要启动PC时,用户将首先将USB闪存驱动器插入PC 然后打开PC。然后Windows 启动器将从闪存驱动器读取启动密钥以便在启动Windows之前解密系统磁盘。我知道在实践中这样做的人,并且它运行良好。有关更多背景,请参阅例如this和this。)
我的问题
当使用BitLocker加密驱动器以便需要启动密钥时,用户是否可以指定自己的自定义 启动密钥(例如,如果她之前已经使用向导生成了一个并希望在其他PC上使用它),或者她必须接受BitLocker向导生成的密钥?
或者,如果她必须接受BitLocker向导创建的密钥(至少在向导运行时),那么作为一种解决方法,她以后可以用她首选的启动密钥替换它吗?通过BitLocker管理密钥界面,也许?