もし、あんたが WindowsシステムドライブをBitLockerで暗号化する 、セキュリティを強化するためにPINを追加できます。 Windowsが起動する前に、PCの電源を入れるたびにPINを入力する必要があります。これは、 ログインPIN 、Windowsの起動後に入力します。
関連: USBキーを使用してBitLockerで暗号化されたPCのロックを解除する方法
起動前のPINは、起動プロセス中に暗号化キーがシステムメモリに自動的に読み込まれないようにします。これにより、ハードウェアが脆弱なシステムに対するダイレクトメモリアクセス(DMA)攻撃から保護されます。 Microsoftのドキュメント これについて詳しく説明します。
ステップ1:BitLockerを有効にします(まだ有効にしていない場合)
関連: WindowsでBitLocker暗号化を設定する方法
これはBitLockerの機能であるため、BitLocker暗号化を使用して起動前のPINを設定する必要があります。これは、WindowsのProfessionalおよびEnterpriseエディションでのみ使用できます。 PINを設定する前に、 システムドライブでBitLockerを有効にする 。
あなたがあなたの邪魔にならない場合は TPMのないコンピューターでBitLockerを有効にする 、TPMの代わりに使用される起動パスワードを作成するように求められます。以下の手順は、TPMを搭載したコンピューターでBitLockerを有効にする場合にのみ必要です。 最近のほとんどのコンピューターには 。
Windowsのホームバージョンを使用している場合、BitLockerを使用することはできません。あなたは持っているかもしれません デバイスの暗号化 代わりに機能がありますが、これはBitLockerとは動作が異なり、起動キーを提供できません。
ステップ2:グループポリシーエディターでスタートアップPINを有効にする
BitLockerを有効にしたら、邪魔にならないようにしてPINを有効にする必要があります。これには、グループポリシー設定の変更が必要です。グループポリシーエディターを開くには、Windows + Rを押し、[実行]ダイアログに「gpedit.msc」と入力して、Enterキーを押します。
[グループポリシー]ウィンドウで、[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [BitLockerドライブの暗号化]> [オペレーティングシステムドライブ]に移動します。
右ペインの「起動時に追加の認証が必要」オプションをダブルクリックします。
ここでウィンドウの上部にある「有効」を選択します。次に、[TPMスタートアップPINを構成する]の下のボックスをクリックし、[TPMでスタートアップPINを要求する]オプションを選択します。 「OK」をクリックして変更を保存します。
ステップ3:ドライブにPINを追加する
これで、
manage-bde
PINをBitLockerで暗号化されたドライブに追加するコマンド。
これを行うには、管理者としてコマンドプロンプトウィンドウを起動します。 Windows 10または8では、[スタート]ボタンを右クリックし、[コマンドプロンプト(管理者)]を選択します。 Windows 7では、[スタート]メニューで[コマンドプロンプト]ショートカットを見つけて右クリックし、[管理者として実行]を選択します。
次のコマンドを実行します。以下のコマンドはC:ドライブで機能するため、別のドライブの起動キーが必要な場合は、代わりにドライブ文字を入力してください
c:
。
manage-bde -protectors -add c:-TPMAndPIN
ここにPINを入力するように求められます。次回起動すると、このPINの入力を求められます。
TPMAndPINプロテクターが追加されたかどうかを再確認するには、次のコマンドを実行できます。
manage-bde -status
(ここに表示される「数値パスワード」キープロテクターは、回復キーです。)
BitLockerPINを変更する方法
将来PINを変更するには、管理者としてコマンドプロンプトウィンドウを開き、次のコマンドを実行します。
manage-bde -changepin c:
続行する前に、新しいPINを入力して確認する必要があります。
PIN要件を削除する方法
気が変わって後でPINの使用をやめたい場合は、この変更を元に戻すことができます。
まず、[グループポリシー]ウィンドウに移動し、オプションを[TPMでスタートアップPINを許可する]に戻す必要があります。 [TPMでスタートアップPINを要求する]に設定したままにすることはできません。そうしないと、WindowsでPINを削除できなくなります。
次に、管理者としてコマンドプロンプトウィンドウを開き、次のコマンドを実行します。
manage-bde -protectors -add c:-TPM
これにより、「TPMandPIN」要件が「TPM」要件に置き換えられ、PINが削除されます。 BitLockerドライブは、起動時にコンピューターのTPMを介して自動的にロック解除されます。
これが正常に完了したことを確認するには、statusコマンドを再度実行します。
manage-bde -status c:
PINを忘れた場合は、システムドライブでBitLockerを有効にしたときに安全な場所に保存しておく必要のあるBitLocker回復コードを提供する必要があります。
