Se tu crittografa l'unità di sistema di Windows con BitLocker , puoi aggiungere un PIN per maggiore sicurezza. Dovrai inserire il PIN ogni volta che accendi il PC, prima ancora che Windows si avvii. Questo è separato da un file PIN di accesso , che inserisci dopo l'avvio di Windows.
RELAZIONATO: Come utilizzare una chiave USB per sbloccare un PC crittografato con BitLocker
Un PIN di pre-avvio impedisce che la chiave di crittografia venga caricata automaticamente nella memoria di sistema durante il processo di avvio, il che protegge dagli attacchi di accesso diretto alla memoria (DMA) sui sistemi con hardware vulnerabile. Microsoft’s documentation spiega questo in modo più dettagliato.
Passaggio uno: abilita BitLocker (se non lo hai già fatto)
RELAZIONATO: Come configurare la crittografia BitLocker su Windows
Questa è una funzionalità di BitLocker, quindi è necessario utilizzare la crittografia BitLocker per impostare un PIN di pre-avvio. È disponibile solo nelle edizioni Professional ed Enterprise di Windows. Prima di poter impostare un PIN, devi farlo abilitare BitLocker per l'unità di sistema .
Nota che, se fai di tutto per abilitare BitLocker su un computer senza TPM , ti verrà chiesto di creare una password di avvio che viene utilizzata al posto del TPM. I passaggi seguenti sono necessari solo quando si abilita BitLocker su computer con TPM, che la maggior parte dei computer moderni ha .
Se disponi di una versione Home di Windows, non sarai in grado di utilizzare BitLocker. Potresti avere il file Crittografia del dispositivo funzionalità invece, ma funziona in modo diverso da BitLocker e non ti consente di fornire una chiave di avvio.
Passaggio due: abilitare il PIN di avvio nell'Editor criteri di gruppo
Dopo aver abilitato BitLocker, dovrai fare di tutto per abilitare un PIN con esso. Ciò richiede una modifica delle impostazioni dei criteri di gruppo. Per aprire l'Editor criteri di gruppo, premere Windows + R, digitare "gpedit.msc" nella finestra di dialogo Esegui e premere Invio.
Vai a Configurazione computer> Modelli amministrativi> Componenti di Windows> Crittografia unità BitLocker> Unità del sistema operativo nella finestra Criteri di gruppo.
Fare doppio clic sull'opzione "Richiedi autenticazione aggiuntiva all'avvio" nel riquadro di destra.
Seleziona "Abilitato" nella parte superiore della finestra qui. Quindi, fare clic sulla casella sotto "Configura PIN di avvio TPM" e selezionare l'opzione "Richiedi PIN di avvio con TPM". Fare clic su "OK" per salvare le modifiche.
Passaggio tre: aggiungi un PIN all'unità
Ora puoi usare il file
manage-bde
comando per aggiungere il PIN all'unità crittografata con BitLocker.
Per fare ciò, avvia una finestra del prompt dei comandi come amministratore. Su Windows 10 o 8, fai clic con il pulsante destro del mouse sul pulsante Start e seleziona "Prompt dei comandi (amministratore)". Su Windows 7, trova il collegamento "Prompt dei comandi" nel menu Start, fai clic con il pulsante destro del mouse e seleziona "Esegui come amministratore"
Esegui il seguente comando. Il comando seguente funziona sull'unità C:, quindi se desideri richiedere una chiave di avvio per un'altra unità, inserisci la sua lettera di unità invece di
c:
.
gestire-bde -protectors -add c: -TPMAndPIN
Ti verrà chiesto di inserire il PIN qui. Al successivo avvio, ti verrà chiesto questo PIN.
Per ricontrollare se è stata aggiunta la protezione TPMAndPIN, puoi eseguire il seguente comando:
gestire-bde -status
(La protezione con chiave "Password numerica" visualizzata qui è la tua chiave di ripristino.)
Come modificare il PIN di BitLocker
Per modificare il PIN in futuro, aprire una finestra del prompt dei comandi come amministratore ed eseguire il comando seguente:
manage-bde -changepin c:
Dovrai digitare e confermare il nuovo PIN prima di continuare.
Come rimuovere il requisito del PIN
Se cambi idea e desideri interrompere l'utilizzo del PIN in un secondo momento, puoi annullare questa modifica.
Innanzitutto, dovrai andare alla finestra Criteri di gruppo e modificare nuovamente l'opzione in "Consenti PIN di avvio con TPM". Non puoi lasciare l'opzione impostata su "Richiedi PIN di avvio con TPM" o Windows non ti consentirà di rimuovere il PIN.
Quindi, apri una finestra del prompt dei comandi come amministratore ed esegui il seguente comando:
gestire-bde -protectors -add c: -TPM
Ciò sostituirà il requisito "TPM e PIN" con un requisito "TPM", eliminando il PIN. L'unità BitLocker si sbloccherà automaticamente tramite il TPM del computer all'avvio.
Per verificare che ciò sia stato completato correttamente, eseguire nuovamente il comando status:
gestire-bde -status c:
Se dimentichi il PIN, dovrai fornire il codice di ripristino di BitLocker che avresti dovuto salvare in un luogo sicuro quando hai abilitato BitLocker per l'unità di sistema.
