Dacă criptați unitatea de sistem Windows cu BitLocker, puteți adăuga un cod PIN pentru securitate suplimentară. Va trebui să introduceți codul PIN de fiecare dată când porniți computerul, înainte ca Windows să pornească chiar. Acesta este separat de un cod PIN de conectare, pe care îl introduceți după ce boot-ul Windows se deschide.
Un cod PIN prealabil împiedică încărcarea automată a cheii de criptare în memoria sistemului în timpul procesului de încărcare, care protejează împotriva atacurilor de acces direct la memorie (DMA) pe sistemele cu hardware vulnerabil la acestea. Documentația Microsoft explică acest lucru în detaliu.
Aceasta este o caracteristică BitLocker, deci trebuie să utilizați criptarea BitLocker pentru a seta un cod PIN înainte de pornire. Acest lucru este disponibil numai în edițiile Professional și Enterprise ale Windows. Înainte de a putea seta un cod PIN, trebuie să activați BitLocker pentru unitatea de sistem.
Rețineți că, dacă ieșiți din calea dvs. pentru a activa BitLocker pe un computer fără un TPM, vi se va solicita să creați o parolă de pornire utilizată în locul TPM. Pașii de mai jos sunt necesari numai atunci când se activează BitLocker pe computerele cu dispozitive TPM, pe care le au cele mai moderne computere.
Dacă aveți o versiune Home a Windows, nu veți putea utiliza BitLocker. Este posibil să aveți funcția Criptare dispozitiv, dar aceasta funcționează diferit față de BitLocker și nu vă permite să furnizați o cheie de pornire.
Odată ce ați activat BitLocker, va trebui să ieșiți din calea dvs. pentru a activa un cod PIN cu acesta. Acest lucru necesită o modificare a setărilor politicii de grup. Pentru a deschide Editorul politicilor de grup, apăsați Windows + R, tastați "gpedit.msc" în dialogul Executare și apăsați Enter.
Accesați Configurare computer> Șabloane de administrare> Componente Windows> Criptare unitate BitLocker> Unități de sistem de operare din fereastra Politică de grup.
Faceți dublu clic pe opțiunea "Solicitarea autentificării suplimentare la pornire" din panoul din partea dreaptă.
Selectați "Activat" în partea de sus a ferestrei aici. Apoi, dați clic pe caseta din "Configurați PIN-ul de pornire TPM" și selectați opțiunea "Solicitare cod PIN pornire cu TPM". Faceți clic pe "OK" pentru a salva modificările.
Acum puteți folosi gestiona-BDE
comanda pentru a adăuga codul PIN la unitatea criptată BitLocker.
Pentru a face acest lucru, lansați o fereastră Prompt comandă ca Administrator. În Windows 10 sau 8, faceți clic dreapta pe butonul Start și selectați "Command Prompt (Admin)". În Windows 7, găsiți comanda rapidă "Command Prompt" din meniul Start, faceți clic dreapta pe el și selectați "Run as Administrator"
Rulați următoarea comandă. Comanda de mai jos funcționează pe unitatea dvs. C: dacă doriți să aveți nevoie de o tastă de pornire pentru o altă unitate, introduceți litera unității în loc de c:
.
gestionați-bde -protectorii -add c: -TPMAndPIN
Vi se va solicita să introduceți codul PIN aici. Data viitoare când porniți, vi se va cere acest cod PIN.
Pentru a verifica dacă protecția TPMAndPIN a fost adăugată, puteți rula următoarea comandă:
gestionați-bde -status
(Protecția cheii "Parola numerică" afișată aici este cheia dvs. de recuperare.)
Pentru a schimba codul PIN în viitor, deschideți o fereastră de comandă ca Administrator și executați următoarea comandă:
manage-bde -changepin c:
Va trebui să introduceți și să confirmați codul PIN nou înainte de a continua.
Dacă vă răzgândiți și doriți să nu mai utilizați codul PIN mai târziu, puteți anula această modificare.
În primul rând, va trebui să vă îndreptați către fereastra Politică de grup și să schimbați opțiunea la "Permiteți PIN-ul de pornire cu TPM". Nu puteți lăsa opțiunea setată la "Necesită un PIN de pornire cu TPM" sau Windows nu vă va permite să eliminați codul PIN.
Apoi deschideți fereastra Prompt Command (Administrator) ca Administrator și executați următoarea comandă:
gestionați-bde -protectorii -add c: -TPM
Aceasta va înlocui cerința "TPMandPIN" cu o cerință "TPM", eliminând codul PIN. Unitatea dvs. BitLocker va debloca automat prin TPM-ul computerului dvs. atunci când boot-ați.
Pentru a verifica dacă aceasta a fost finalizată cu succes, executați din nou comanda de stare:
manage-bde -status c:
Dacă uitați codul PIN, va trebui să furnizați codul de recuperare BitLocker pe care ar fi trebuit să-l salvați undeva în siguranță atunci când ați activat BitLocker pentru unitatea de sistem.