使用 USB 作为密码/密钥

Question 1

如果您急于执行此操作，请跳至下面编号的步骤。（但请记住，我建议您在使用 USB 驱动器锁定计算机之前阅读这些事实）

SysKey（SAM 锁定工具）是一款内置的 Windows 实用程序，可帮助您保护安全帐户管理或 SAM 数据库。SAM 数据库存储用户密码的哈希副本，默认情况下使用本地存储的系统启动密钥进行加密。

您可以使用 SysKey 将启动密钥存储在 Windows 本地或 USB 闪存驱动器上。将启动密钥存储在 USB 闪存驱动器上可以提高安全性，因为启动时必须连接 USB 闪存驱动器才能登录并访问 Windows。

您必须以管理员身份登录才能执行本教程中的步骤。

这只会在重启或关机后从冷启动时锁定 Windows 计算机。它不会在注销、锁定或切换用户后锁定 Windows。

登录后，Windows 启动后，您不再需要连接 USB 闪存盘。只需在系统启动时连接即可。

您仍然可以继续正常使用 USB 闪存盘。但千万不要删除其中的 StartKey.Key 文件，否则您将无法再用它解锁 Windows。

USB 闪存驱动器上的启动密钥仅用于获取创建它的特定 Windows 的登录权限。

注意：直到您连接 USB 启动密钥，Windows 才会启动。

要使 Windows 在启动时需要 USB 密钥来解锁：

您需要将 USB 闪存驱动器的驱动器号更改为字母 A。

按 Windows+R 键打开运行对话框，类型系统密钥，然后单击/点击“确定”。

如果 UAC 提示，请单击/点击“是”（Windows 7/8）或“继续”（Vista）。

点击/轻触更新。

选择（点）系统生成的密码，选择（点）将启动密钥存储在软盘上选项，然后单击/点击“确定”。

如果 USB 上已经有 StartKey.Key 文件，那么旧的现有文件将被重命名为 StartKey.Bak，以便将新的文件保存到其中。

建议您将此 StartKey.Key 文件备份到其他位置，以防 USB 损坏或丢失。这样，您就可以将其复制到驱动器号为 A 的另一个 USB，以便再次访问 Windows。

要使 Windows 在启动时不需要 USB 密钥：

执行上述所有步骤，直至第 4 步。

选择本地存储启动密钥选项。

Answer

如果您急于执行此操作，请跳至下面编号的步骤。（但请记住，我建议您在使用 USB 驱动器锁定计算机之前阅读这些事实）

仅从七个论坛网站提取所需的详细信息

SysKey（SAM 锁定工具）是一款内置的 Windows 实用程序，可帮助您保护安全帐户管理或 SAM 数据库。SAM 数据库存储用户密码的哈希副本，默认情况下使用本地存储的系统启动密钥进行加密。

您可以使用 SysKey 将启动密钥存储在 Windows 本地或 USB 闪存驱动器上。将启动密钥存储在 USB 闪存驱动器上可以提高安全性，因为启动时必须连接 USB 闪存驱动器才能登录并访问 Windows。

您必须以管理员身份登录才能执行本教程中的步骤。

这只会在重启或关机后从冷启动时锁定 Windows 计算机。它不会在注销、锁定或切换用户后锁定 Windows。

登录后，Windows 启动后，您不再需要连接 USB 闪存盘。只需在系统启动时连接即可。

您仍然可以继续正常使用 USB 闪存盘。但千万不要删除其中的 StartKey.Key 文件，否则您将无法再用它解锁 Windows。

USB 闪存驱动器上的启动密钥仅用于获取创建它的特定 Windows 的登录权限。

注意：直到您连接 USB 启动密钥，Windows 才会启动。

要使 Windows 在启动时需要 USB 密钥来解锁：

您需要将 USB 闪存驱动器的驱动器号更改为字母 A。

按 Windows+R 键打开运行对话框，类型系统密钥，然后单击/点击“确定”。

如果 UAC 提示，请单击/点击“是”（Windows 7/8）或“继续”（Vista）。

点击/轻触更新。

选择（点）系统生成的密码，选择（点）将启动密钥存储在软盘上选项，然后单击/点击“确定”。

如果 USB 上已经有 StartKey.Key 文件，那么旧的现有文件将被重命名为 StartKey.Bak，以便将新的文件保存到其中。

建议您将此 StartKey.Key 文件备份到其他位置，以防 USB 损坏或丢失。这样，您就可以将其复制到驱动器号为 A 的另一个 USB，以便再次访问 Windows。

要使 Windows 在启动时不需要 USB 密钥：

执行上述所有步骤，直至第 4 步。

选择本地存储启动密钥选项。

Question 2

您询问是否有办法在未插入 USB 密钥的情况下阻止启动。这是可能的，并且如果您的硬盘/计算机被盗，它有助于保护您的数据。

但是，您还提到您希望 USB 密钥能够阻止远程访问您计算机的人登录。您问题的第二部分实际上没有任何意义。如果有人可以远程访问您的系统，则假定系统已启动。在这种情况下，启动所需的 USB 密钥无关紧要。

也许你真正想问的是，是否有办法禁用远程访问，或者是否有办法仅有的当满足某些条件时（例如，如果插入了 USB 密钥），启用远程访问。一种方法是编写脚本。目前，在这个答案中，我将仅向您展示如何要求 USB 密钥启动 Windows。

我假设你没有 TPM（可信平台模块）。大多数人的 PC 中都没有这个。如果你做有 TPM，您可以跳过步骤 1 到 4。如果您不知道是否有 TPM，则只需执行步骤 1 到 4。即使您做有 TPM，执行这些步骤不会有任何损害。

答案末尾附有几张与步骤相关的图片。

打开组策略编辑器。通过gpedt.msc在 Windows 搜索中搜索来执行此操作。
导航Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drives。
双击Require Additional Authentication at Startup。
选择Enable并确保Allow BitLocker without a...已选中。
通过搜索打开 BitLocker 设置Manage BitLocker。
选择您的启动驱动器（通常是C:），然后单击Turn on BitLocker。
插入您的 USB 密钥，然后按照提示的步骤进行操作。

完成后，每次启动计算机时，您都需要插入 USB 密钥，以便启动 Windows。此外，如果您的硬盘或计算机被盗，而窃贼没有您的 USB 密钥，您的数据将受到保护。

以下是一些相关图片。第一张是步骤 2 和 3 的。第二张是步骤 4 的。

步骤 2 和 3 参考

步骤 4 参考

Answer