真●「電腦USB安全開機鎖」——TPM&USB with BitLocker

有聽過USB鎖定(解鎖)電腦？不過常見的形式都是「開機進入Windows後解除帳戶鎖定」，如軟體Predator和主機板加值軟體USB Key，或是比較新的方式支援Windows 10的指紋辨識碟。

• Predator 讓 USB 隨身碟升級成電腦鎖(0與1的邂逅)
• Predator 3.4.2.441 將電腦透過 USB 上鎖解鎖，成為一把關鍵鑰匙(哇哇3C日誌)
• ASRock FM2A88X Extreme6+ Review(AnandTech)

但電腦在開進進入Windows前真的安全嗎？除了Windows帳戶被破解外，也有在載入Windows前直接抓取硬碟的可能。因此早在10年前就推出了TPM(Trusted Platform Module)這個硬體安全標準。

微軟在BitLocker中使用它(TPM 建議(Microsoft))，預設情況下只會偵測TPM然後開機進入Windows。但我們可以增加認證的要素，使開機的時候除了偵測TPM，還要有USB，甚至PIN碼才能進入Windows。除了更安全，不是也很酷嗎？( Φ ω Φ )

買回來後把它裝到主機板上，基本上主機板都會有TPM，只不過要注意一下規格(1.2、2.0)，會有細節上的差異，但不影響本次介紹的功能。



對齁，差點忘了講一下入手途徑。因為在台灣通路上找不到，所以小夜還問了原廠商，最後是在Amazon USA買寄回台灣，兩周左右收到。因為小夜想說和主機板同一牌所以挑的價格是美金$16.11(不含運費)，若選ASUS會再便宜一點點，加上運費大概600元以內，保護Windows啟動不算貴。


發個牢騷，為什麼明明是台灣品牌的產品在台灣卻買不到-.-，開個通路窗口也好，下單再運送過來也不用倉儲成本。Google pixel手機也是這樣，HTC製造在台灣卻買不到。台灣很多奧客以此訓練全通路服務不是一個好的練兵場？連總部本地的市場都這樣對待，還有可能轉型成功嗎？

接著是設定流程：










若你現在沒有TPM想先體驗USB安全開機，也不是沒有方法：

• 在沒有TPM的電腦啟用BitLocker(iThome)

或者是加密完成後沒有看到「變更開機時解除鎖定磁碟機的方式」的選項，請進搜尋「編輯群組原則」然後找到：電腦設定-系統管理範本-BitLocker磁碟機加密-作業系統磁碟機-啟動時需要其他驗證，進行設定。注意Windows 10家用版沒有本機群組原則編輯器，因此無法啟用BitLocker，即使安裝TPM也沒有作用。