Si vous chiffrer votre lecteur système Windows avec BitLocker , vous pouvez ajouter un code PIN pour plus de sécurité. Vous devrez entrer le code PIN chaque fois que vous allumerez votre PC, avant même que Windows ne démarre. Ceci est distinct d'un PIN de connexion , que vous entrez après le démarrage de Windows.
EN RELATION: Comment utiliser une clé USB pour déverrouiller un PC chiffré par BitLocker
Un code PIN de pré-démarrage empêche la clé de chiffrement d'être automatiquement chargée dans la mémoire système pendant le processus de démarrage, ce qui protège contre les attaques d'accès direct à la mémoire (DMA) sur les systèmes dont le matériel est vulnérable. Microsoft’s documentation explique cela plus en détail.
Étape 1: activez BitLocker (si vous ne l'avez pas déjà fait)
EN RELATION: Comment configurer le chiffrement BitLocker sous Windows
Il s'agit d'une fonctionnalité BitLocker, vous devez donc utiliser le chiffrement BitLocker pour définir un code PIN de pré-démarrage. Ceci n'est disponible que sur les éditions Professionnel et Entreprise de Windows. Avant de pouvoir définir un code PIN, vous devez activer BitLocker pour votre lecteur système .
Notez que si vous faites tout votre possible pour activer BitLocker sur un ordinateur sans TPM , vous serez invité à créer un mot de passe de démarrage qui sera utilisé à la place du TPM. Les étapes ci-dessous ne sont nécessaires que lors de l'activation de BitLocker sur les ordinateurs avec TPM, qui la plupart des ordinateurs modernes ont .
Si vous disposez d'une version familiale de Windows, vous ne pourrez pas utiliser BitLocker. Vous pouvez avoir le Chiffrement de l'appareil à la place, mais cela fonctionne différemment de BitLocker et ne vous permet pas de fournir une clé de démarrage.
Deuxième étape: activer le code PIN de démarrage dans l'éditeur de stratégie de groupe
Une fois que vous avez activé BitLocker, vous devrez faire tout votre possible pour activer un code PIN avec celui-ci. Cela nécessite une modification des paramètres de stratégie de groupe. Pour ouvrir l'éditeur de stratégie de groupe, appuyez sur Windows + R, tapez «gpedit.msc» dans la boîte de dialogue Exécuter et appuyez sur Entrée.
Dirigez-vous vers Configuration ordinateur> Modèles d'administration> Composants Windows> Chiffrement de lecteur BitLocker> Lecteurs du système d'exploitation dans la fenêtre Stratégie de groupe.
Double-cliquez sur l'option «Exiger une authentification supplémentaire au démarrage» dans le volet droit.
Sélectionnez «Activé» en haut de la fenêtre ici. Ensuite, cliquez sur la case sous «Configurer le code PIN de démarrage du TPM» et sélectionnez l'option «Exiger un code PIN de démarrage avec TPM». Cliquez sur «OK» pour enregistrer vos modifications.
Troisième étape: ajouter un code PIN à votre disque
Vous pouvez maintenant utiliser le
gérer-bde
commande pour ajouter le code PIN à votre lecteur chiffré BitLocker.
Pour ce faire, lancez une fenêtre d'invite de commandes en tant qu'administrateur. Sous Windows 10 ou 8, cliquez avec le bouton droit sur le bouton Démarrer et sélectionnez «Invite de commandes (Admin)». Sous Windows 7, recherchez le raccourci "Invite de commandes" dans le menu Démarrer, cliquez dessus avec le bouton droit de la souris et sélectionnez "Exécuter en tant qu'administrateur"
Exécutez la commande suivante. La commande ci-dessous fonctionne sur votre lecteur C:, donc si vous souhaitez exiger une clé de démarrage pour un autre lecteur, entrez sa lettre de lecteur au lieu de
c:
.
manage-bde -protectors -add c: -TPMAndPIN
Vous serez invité à entrer votre code PIN ici. Au prochain démarrage, vous serez invité à entrer ce code PIN.
Pour vérifier si le protecteur TPMAndPIN a été ajouté, vous pouvez exécuter la commande suivante:
manage-bde -status
(Le protecteur de clé «Mot de passe numérique» affiché ici est votre clé de récupération.)
Comment modifier votre code PIN BitLocker
Pour modifier le code PIN à l'avenir, ouvrez une fenêtre d'invite de commandes en tant qu'administrateur et exécutez la commande suivante:
manage-bde -changepin c:
Vous devrez saisir et confirmer votre nouveau NIP avant de continuer.
Comment supprimer l'exigence de code PIN
Si vous changez d'avis et souhaitez arrêter d'utiliser le code PIN plus tard, vous pouvez annuler cette modification.
Tout d'abord, vous devez vous rendre dans la fenêtre de stratégie de groupe et redéfinir l'option sur "Autoriser le code PIN de démarrage avec TPM". Vous ne pouvez pas laisser l'option définie sur "Exiger le code PIN de démarrage avec TPM", sinon Windows ne vous permettra pas de supprimer le code PIN.
Ensuite, ouvrez une fenêtre d'invite de commandes en tant qu'administrateur et exécutez la commande suivante:
manage-bde -protectors -add c: -TPM
Cela remplacera l'exigence «TPMandPIN» par une exigence «TPM», supprimant le code PIN. Votre lecteur BitLocker se déverrouille automatiquement via le TPM de votre ordinateur lorsque vous démarrez.
Pour vérifier que cela s'est déroulé correctement, exécutez à nouveau la commande status:
manage-bde -status c:
Si vous oubliez le code PIN, vous devrez fournir le code de récupération BitLocker que vous auriez dû enregistrer dans un endroit sûr lorsque vous avez activé BitLocker pour votre lecteur système.
