Essencialmente, há dois valores de registro que precisam ser definidos antes que o Bitlocker permita que uma unidade USB seja usada para manter as chaves de inicialização / recuperação. Você não precisa editar um GPO por meio de uma GUI.
É assim que eu protegi minha unidade c: com o Bitlocker, armazenando minhas chaves em uma unidade USB montada como a unidade k: . A etapa 3 é a parte que substitui a necessidade de usar gpedit.msc .
- Do PowerShell:
Install-WindowsFeature Bitlocker
- Reinicializar
-
Do PowerShell: (a chave / pasta "FVE" não existe inicialmente)
New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Set-Location HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1
-
Do cmd.exe:
manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\
- Do cmd.exe:
manage-bde -on c: -usedspaceonly
- Reinicializar
- Do cmd.exe (para confirmar que as coisas estão funcionando):
manage-bde -status
FYI: Eu fiz tudo isso através de uma sessão RDP, incluindo o uso de diskpart para definir a letra da unidade USB. O único acesso físico à máquina era conectar a unidade USB.
EDIT: Demorei um pouco e confirmei que a letra e o rótulo da unidade USB são irrelevantes no momento da inicialização. Você pode colocar o (s) arquivo (s) de chave em uma unidade de substituição e conectá-lo a uma porta USB diferente. O Windows encontra muito bem e botas. (Se apenas o Windows foi legal com impressoras USB.)