Jeśli ty zaszyfruj dysk systemowy Windows za pomocą funkcji BitLocker , możesz dodać kod PIN dla dodatkowego bezpieczeństwa. Będziesz musiał wprowadzać kod PIN przy każdym włączeniu komputera, zanim jeszcze uruchomi się system Windows. To jest niezależne od PIN logowania , który należy wprowadzić po uruchomieniu systemu Windows.
ZWIĄZANE Z: Jak używać klucza USB do odblokowania komputera zaszyfrowanego funkcją BitLocker
Kod PIN przed uruchomieniem zapobiega automatycznemu ładowaniu klucza szyfrowania do pamięci systemu podczas procesu rozruchu, co chroni przed atakami bezpośredniego dostępu do pamięci (DMA) na systemy z podatnym na nie sprzętem. Dokumentacja firmy Microsoft wyjaśnia to bardziej szczegółowo.
Krok pierwszy: Włącz funkcję BitLocker (jeśli jeszcze tego nie zrobiłeś)
ZWIĄZANE Z: Jak skonfigurować szyfrowanie funkcją BitLocker w systemie Windows
To jest funkcja BitLocker, więc musisz użyć szyfrowania BitLocker, aby ustawić kod PIN przed rozruchem. Jest to dostępne tylko w wersjach Professional i Enterprise systemu Windows. Aby móc ustawić kod PIN, musisz to zrobić włącz funkcję BitLocker na dysku systemowym .
Zauważ, że jeśli zrobisz wszystko, co w twojej mocy, aby włącz funkcję BitLocker na komputerze bez modułu TPM , pojawi się monit o utworzenie hasła startowego, które będzie używane zamiast modułu TPM. Poniższe kroki są konieczne tylko w przypadku włączania funkcji BitLocker na komputerach z modułami TPM, które większość nowoczesnych komputerów ma .
Jeśli masz wersję domową systemu Windows, nie możesz korzystać z funkcji BitLocker. Możesz mieć Szyfrowanie urządzeń funkcja, ale działa inaczej niż BitLocker i nie pozwala na podanie klucza startowego.
Krok drugi: Włącz kod PIN uruchamiania w edytorze zasad grupy
Po włączeniu funkcji BitLocker musisz zrobić wszystko, co w jej mocy, aby włączyć za jej pomocą kod PIN. Wymaga to zmiany ustawień zasad grupy. Aby otworzyć Edytor zasad grupy, naciśnij Windows + R, wpisz „gpedit.msc” w oknie dialogowym Uruchom i naciśnij Enter.
Przejdź do Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Szyfrowanie dysków funkcją BitLocker> Dyski systemu operacyjnego w oknie Zasady grupy.
Kliknij dwukrotnie opcję „Wymagaj dodatkowego uwierzytelnienia przy uruchomieniu” w prawym okienku.
Wybierz „Włączone” w górnej części okna tutaj. Następnie kliknij pole „Konfiguruj kod PIN uruchamiania TPM” i wybierz opcję „Wymagaj kodu PIN uruchamiania z TPM”. Kliknij „OK”, aby zapisać zmiany.
Krok trzeci: dodaj kod PIN do dysku
Możesz teraz użyć
manage-bde
polecenie, aby dodać kod PIN do dysku zaszyfrowanego funkcją BitLocker.
Aby to zrobić, uruchom okno wiersza polecenia jako administrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz „Wiersz polecenia (administrator)”. W systemie Windows 7 znajdź skrót „Wiersz polecenia” w menu Start, kliknij go prawym przyciskiem myszy i wybierz „Uruchom jako administrator”
Uruchom następujące polecenie. Poniższe polecenie działa na dysku C:, więc jeśli chcesz wymagać klucza startowego dla innego dysku, wprowadź jego literę dysku zamiast
do:
.
manage-bde -protectors -add c: -TPMAndPIN
Zostaniesz poproszony o wpisanie tutaj kodu PIN. Przy następnym uruchomieniu pojawi się prośba o podanie tego kodu PIN.
Aby dwukrotnie sprawdzić, czy ochrona TPMAndPIN została dodana, możesz uruchomić następujące polecenie:
manage-bde -status
(Wyświetlany tutaj klucz zabezpieczający „Hasło numeryczne” to klucz odzyskiwania).
Jak zmienić kod PIN funkcji BitLocker
Aby zmienić kod PIN w przyszłości, otwórz okno wiersza polecenia jako administrator i uruchom następujące polecenie:
manage-bde -changepin c:
Przed kontynuowaniem musisz wpisać i potwierdzić nowy kod PIN.
Jak usunąć wymaganie dotyczące kodu PIN
Jeśli zmienisz zdanie i zechcesz później przestać używać kodu PIN, możesz cofnąć tę zmianę.
Najpierw musisz przejść do okna Group Policy i zmienić opcję z powrotem na „Allow Startup PIN With TPM”. Nie możesz pozostawić opcji ustawionej na „Wymagaj kodu PIN przy uruchamianiu z TPM” lub system Windows nie pozwoli na usunięcie kodu PIN.
Następnie otwórz okno wiersza polecenia jako administrator i uruchom następujące polecenie:
manage-bde -protectors -add c: -TPM
Spowoduje to zastąpienie wymogu „TPMandPIN” wymaganiem „TPM”, co spowoduje usunięcie kodu PIN. Dysk funkcji BitLocker zostanie automatycznie odblokowany przez moduł TPM komputera podczas uruchamiania.
Aby sprawdzić, czy zakończyło się to pomyślnie, uruchom ponownie komendę statusu:
manage-bde -status c:
Jeśli zapomnisz kodu PIN, będziesz musiał podać kod odzyskiwania funkcji BitLocker, który powinieneś zapisać w bezpiecznym miejscu po włączeniu funkcji BitLocker na dysku systemowym.
