Jeśli zaszyfrujesz dysk systemowy Windows za pomocąBitLocker, możesz dodać PIN dla dodatkowego bezpieczeństwa. Musisz podać kod PIN przy każdym włączeniu komputera, zanim jeszcze system Windows się uruchomi. Jest to oddzielne od kodu PIN do logowania, który wprowadzasz po uruchomieniu systemu Windows.
ZWIĄZANE Z: Jak używać klucza USB, aby odblokować komputer z szyfrowaniem BitLocker
Kod PIN przed uruchomieniem zapobiega kluczowi szyfrującemuautomatyczne ładowanie do pamięci systemowej podczas procesu rozruchu, co chroni przed atakami bezpośredniego dostępu do pamięci (DMA) na systemy z wrażliwym na nie sprzętem. Dokumentacja Microsoft wyjaśnia to bardziej szczegółowo.
Krok pierwszy: Włącz funkcję BitLocker (jeśli jeszcze jej nie masz)
ZWIĄZANE Z: Jak skonfigurować szyfrowanie funkcją BitLocker w systemie Windows
Jest to funkcja BitLocker, więc musisz jej użyćSzyfrowanie funkcją BitLocker w celu ustawienia kodu PIN przed uruchomieniem. Jest to dostępne tylko w wersjach Windows Professional i Enterprise. Przed ustawieniem kodu PIN musisz włączyć funkcję BitLocker dla dysku systemowego.
Pamiętaj, że jeśli zrobisz wszystko, aby włączyćFunkcja BitLocker na komputerze bez modułu TPM spowoduje wyświetlenie monitu o utworzenie hasła uruchamiania, które będzie używane zamiast modułu TPM. Poniższe kroki są konieczne tylko podczas włączania funkcji BitLocker na komputerach z modułami TPM, które mają większość nowoczesnych komputerów.
Jeśli masz wersję Home systemu Windows, nie będzieszbyć w stanie korzystać z funkcji BitLocker. Zamiast tego możesz mieć funkcję szyfrowania urządzeń, ale działa ona inaczej niż funkcja BitLocker i nie pozwala ci podać klucza startowego.
Krok drugi: Włącz początkowy kod PIN w Edytorze zasad grupy
Po włączeniu funkcji BitLocker musisz przejśćna twojej drodze, aby włączyć z nim kod PIN. Wymaga to zmiany ustawień zasad grupy. Aby otworzyć Edytor zasad grupy, naciśnij Windows + R, wpisz „gpedit.msc” w oknie dialogowym Uruchamianie i naciśnij Enter.
Przejdź do Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Szyfrowanie dysków funkcją BitLocker> Dyski z systemem operacyjnym w oknie Zasady grupy.
Kliknij dwukrotnie opcję „Wymagaj dodatkowego uwierzytelnienia podczas uruchamiania” w prawym okienku.
Wybierz „Enabled” w górnej części okna tutaj. Następnie kliknij pole pod „Konfiguruj początkowy PIN TPM” i wybierz opcję „Wymagaj początkowego PIN z TPM”. Kliknij „OK”, aby zapisać zmiany.
Krok trzeci: Dodaj kod PIN do dysku
Możesz teraz użyć manage-bde polecenie, aby dodać kod PIN do dysku zaszyfrowanego funkcją BitLocker.
Aby to zrobić, uruchom okno wiersza polecenia jakoAdministrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz „Wiersz polecenia (administrator)”. W systemie Windows 7 znajdź skrót „Wiersz polecenia” w menu Start, kliknij go prawym przyciskiem myszy i wybierz „Uruchom jako administrator”
Uruchom następujące polecenie. Poniższe polecenie działa na dysku C:, więc jeśli chcesz wymagać klucza startowego dla innego dysku, wpisz jego literę zamiast c: .
manage-bde -protectors -add c: -TPMAndPIN
Zostaniesz poproszony o podanie tutaj kodu PIN. Przy następnym uruchomieniu pojawi się monit o podanie tego kodu PIN.
Aby dokładnie sprawdzić, czy dodano moduł zabezpieczający TPMAndPIN, można uruchomić następującą komendę:
manage-bde -status
(Wyświetlany tutaj ochraniacz klucza „Hasło numeryczne” to klucz odzyskiwania.)
Jak zmienić kod PIN funkcji BitLocker
Aby zmienić kod PIN w przyszłości, otwórz okno Wiersz polecenia jako Administrator i uruchom następujące polecenie:
manage-bde -changepin c:
Przed kontynuowaniem musisz wpisać i potwierdzić nowy kod PIN.
Jak usunąć wymaganie PIN
Jeśli zmienisz zdanie i chcesz później przestać używać kodu PIN, możesz cofnąć tę zmianę.
Najpierw musisz przejść do zasad grupyi zmień opcję z powrotem na „Zezwól na początkowy kod PIN za pomocą TPM”. Nie możesz pozostawić opcji „Wymagaj początkowego kodu PIN z modułem TPM”, ponieważ system Windows nie pozwoli Ci usunąć kodu PIN.
Następnie otwórz okno Wiersz polecenia jako Administrator i uruchom następujące polecenie:
manage-bde -protectors -add c: -TPM
Zastąpi to wymaganie „TPMandPIN” wymaganiem „TPM”, usuwając PIN. Dysk BitLocker zostanie automatycznie odblokowany przez moduł TPM komputera po uruchomieniu.
Aby sprawdzić, czy operacja zakończyła się pomyślnie, ponownie uruchom komendę status:
manage-bde -status c:
Jeśli zapomnisz PIN, musisz podać kod odzyskiwania funkcji BitLocker, który powinieneś był zapisać w bezpiecznym miejscu po włączeniu funkcji BitLocker na dysku systemowym.
