Skip to content


Ku pamięci: Windows 7 – szyfrowanie partycji systemowej za pomocą BitLockera na komputerze nie posiadającym TPM

Użytkownicy Windows 7 na maszynach nie posiadających
modułu TPM mogą skorzystać z BitLockera do szyfrowania partycji systemowej. Wymagane do tego jest składowanie klucza na pamięci USB.

Uruchamiając kreator włączający BitLockera na komputerze bez TPM 1.2 napotkamy na następujący komunikat:

“A compatible Trusted Platform Module (TPM) Service Device must be present on this computer, but TPM was not found. Please contact your system administrator to enable BitLocker.”
Windows 7 BitLocker on system partition without TPM 01

Nie się czym przerażać:) To było w planie. Działanie to jest spowodowane
przez domyślne ustawienie Group Policy (Zasad Grupy) dla BitLockera.

Aby zezwolić na składowanie klucza na napędzie USB należy:

  • uruchomić edytor zasad grupy
    gpedit.msc
  • przejść do Computer Configuration -> Administrative Templates -> Windows
    Components -> BitLocker Drive Encryption -> Operating System Drives ->
    Require Additional Authentication at Startup:
  • Windows 7 BitLocker on system partition without TPM 02

  • Włączyć tę zasadę (Enabled). Automatycznie zaznaczy się tick przy “Alow
    BitLocker without a compatible TPM (requires a startup key on USB flash
    drive)”, właśnie to ustawienia wymusza wygenerowanie błędu na pierwszym
    screenie z tego wpisu (ciekawscy pewnie zauważą, że można również globalnie
    wyłączyć możliwość szyfrowania z użyciem TPM):
    Windows 7 BitLocker on system partition without TPM 03

Po zmianie ustawień kreator włączenia BitLockera dla dysku systemowego
działa:

Windows 7 BitLocker on system partition without TPM 04

Aby kontynuować operację należy podłączyć napęd USB:

Windows 7 BitLocker on system partition without TPM 05

Powyższy tekst dotyczy również Windows Server 2008 R2. Zmian można również
dokonać przez GPO jeśli korzystamy z AD Windows Server 2008 R2. Nowe GPO oferuje
praktycznie pełną kontrolę nad BitLockerem (szkoda, że tak późno… …przydało
by się to wcześniej).

źródło: własne doświadczenia

Posted in general, ku pamięci, tech, Techblog, Windows 7, Windows Client, Windows Server, Windows Server 2008 R2.

Tagged with , , , , , , , .


12 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

  1. Ktos says

    W Windows 7 nic się nie zmieniło, i BitLockera nie będzie w wersji Business, tfu, Professional, prawda?

  2. Karol Stilger says

    Niestety masz rację. Tylko w Ultimate i Enterprise. Swoją drogą szkoda. Technologia jest moim zdaniem bardzo dobra i dobrze udokumentowana. Jeśli ta funcjonalność trafiła by do Professional na pewno stała by się bardziej popularna (mam nadzieję, że panowie od Sales w MSFT kiedyś też dojdą do podobnego wniosku).

  3. pecet says

    A po co Bitlocker, jak darmowy Truecrypt robi to samo i to dużo lepiej?

  4. Ktos says

    AFAIK TrueCrypt nie umie przechowywać klucza w TPM, nie umie przechowywać klucza odzyskiwania w Active Directory i czegoś tam jeszcze nie umiał, więc nie jest dobrym środowiskiem dla centralnie zarządzanych środowisk.

    No i nie jest zintegrowany z systemem.

  5. Karol Stilger says

    @pecet: Z punktu widzenia pojedyńczego użytkownika funkcjonalność TC jest rzeczywiście większa. Jednak jest do kolejna aplikacja do nadzorowania. Spróbuj tylko użyć TC w większym środowisku, z różnym poziomem umiejętności użytkowników.

  6. mirronn says

    Używam komputera stacjonarnego i takie rozwiązanie nie jest mi potrzebne….

  7. Karol Stilger says

    Komputery stacjonarne również giną:) Warto pamiętać, że bezpieczeństwo danych zależy również również od fizycznej ochrony maszyny.

    • mirronn says

      O ty m nie pomyślałem że ktoś może ukraść mój złom, może go łańcuchem przypnę do kaloryfera 🙂

  8. Karol Stilger says

    złom jak złom liczy się to co na nim zgromadzone;)

    • mirronn says

      W sumie racja, jeżeli chodzi o zawartość mojego PC to wiele bym nie stracił. PZDR

      • T says

        pytanie raczej czy ktoś by wiele zyskał niż ty stracił 🙂

  9. Blaise says

    Wdzięczność za pomoc będzie przeogromna

    Scenariusz z kluczem USB:
    1. szyfrowanie przebiegło prawidłowo
    2. na usb został zapisany klucz (ukryty plik systemowy .BEK)
    3. po restarcie system nie widzi klucza na usb ciągle prosząc o jego podanie
    coś w stylu “…podłącz magazyn kluczy…”



Some HTML is OK

or, reply to this post via trackback.



Skip to toolbar