ถ้าคุณ เข้ารหัสไดรฟ์ระบบ Windows ของคุณด้วย BitLocker คุณสามารถเพิ่ม PIN เพื่อความปลอดภัยเพิ่มเติม คุณจะต้องป้อน PIN ทุกครั้งที่คุณเปิดเครื่องคอมพิวเตอร์ก่อนที่ Windows จะเริ่มทำงาน สิ่งนี้แยกจากไฟล์ PIN เข้าสู่ระบบ ซึ่งคุณป้อนหลังจาก Windows บูทขึ้น
ที่เกี่ยวข้อง: วิธีใช้คีย์ USB เพื่อปลดล็อกพีซีที่เข้ารหัสด้วย BitLocker
PIN ก่อนการบูตจะป้องกันไม่ให้คีย์เข้ารหัสถูกโหลดลงในหน่วยความจำระบบโดยอัตโนมัติในระหว่างกระบวนการบูตซึ่งป้องกันการโจมตีการเข้าถึงหน่วยความจำโดยตรง (DMA) ในระบบที่ฮาร์ดแวร์เสี่ยง เอกสารของ Microsoft อธิบายรายละเอียดเพิ่มเติมนี้
ขั้นตอนที่หนึ่ง: เปิดใช้งาน BitLocker (หากคุณยังไม่ได้ทำ)
ที่เกี่ยวข้อง: วิธีตั้งค่าการเข้ารหัส BitLocker บน Windows
นี่เป็นคุณสมบัติของ BitLocker ดังนั้นคุณต้องใช้การเข้ารหัส BitLocker เพื่อตั้งค่า PIN ก่อนบูต สิ่งนี้มีให้เฉพาะใน Windows รุ่น Professional และ Enterprise เท่านั้น ก่อนที่คุณจะตั้ง PIN ได้คุณต้อง เปิดใช้งาน BitLocker สำหรับไดรฟ์ระบบของคุณ .
โปรดทราบว่าหากคุณออกนอกเส้นทางไป เปิดใช้งาน BitLocker บนคอมพิวเตอร์ที่ไม่มี TPM คุณจะได้รับแจ้งให้สร้างรหัสผ่านเริ่มต้นที่ใช้แทน TPM ขั้นตอนด้านล่างมีความจำเป็นเมื่อเปิดใช้งาน BitLocker บนคอมพิวเตอร์ที่มี TPM เท่านั้นซึ่ง คอมพิวเตอร์ที่ทันสมัยที่สุดมี .
หากคุณมี Windows เวอร์ชัน Home คุณจะไม่สามารถใช้ BitLocker ได้ คุณอาจมีไฟล์ การเข้ารหัสอุปกรณ์ แทน แต่จะทำงานแตกต่างจาก BitLocker และไม่อนุญาตให้คุณระบุรหัสเริ่มต้น
ขั้นตอนที่สอง: เปิดใช้งาน PIN การเริ่มต้นในตัวแก้ไขนโยบายกลุ่ม
เมื่อคุณเปิดใช้งาน BitLocker แล้วคุณจะต้องออกนอกเส้นทางเพื่อเปิดใช้งาน PIN ด้วย ต้องมีการเปลี่ยนแปลงการตั้งค่านโยบายกลุ่ม ในการเปิดตัวแก้ไขนโยบายกลุ่มให้กด Windows + R พิมพ์“ gpedit.msc” ลงในกล่องโต้ตอบเรียกใช้แล้วกด Enter
ไปที่การกำหนดค่าคอมพิวเตอร์> เทมเพลตการดูแลระบบ> ส่วนประกอบของ Windows> การเข้ารหัสไดรฟ์ BitLocker> ไดรฟ์ระบบปฏิบัติการในหน้าต่างนโยบายกลุ่ม
คลิกสองครั้งที่ตัวเลือก“ ต้องการการรับรองความถูกต้องเพิ่มเติมเมื่อเริ่มต้นระบบ” ในบานหน้าต่างด้านขวา
เลือก“ เปิดใช้งาน” ที่ด้านบนของหน้าต่างที่นี่ จากนั้นคลิกช่องใต้“ Configure TPM Startup PIN” แล้วเลือกตัวเลือก“ Require Startup PIN With TPM” คลิก“ ตกลง” เพื่อบันทึกการเปลี่ยนแปลงของคุณ
ขั้นตอนที่สาม: เพิ่ม PIN ในไดรฟ์ของคุณ
ตอนนี้คุณสามารถใช้ไฟล์
จัดการ bde
คำสั่งเพื่อเพิ่ม PIN ให้กับไดรฟ์ที่เข้ารหัส BitLocker ของคุณ
ในการดำเนินการนี้ให้เปิดหน้าต่างพร้อมรับคำสั่งในฐานะผู้ดูแลระบบ ใน Windows 10 หรือ 8 ให้คลิกขวาที่ปุ่ม Start แล้วเลือก“ Command Prompt (Admin)” ใน Windows 7 ให้ค้นหาทางลัด“ Command Prompt” ในเมนู Start คลิกขวาแล้วเลือก“ Run as Administrator”
รันคำสั่งต่อไปนี้ คำสั่งด้านล่างใช้ได้กับไดรฟ์ C: ของคุณดังนั้นหากคุณต้องการใช้คีย์เริ่มต้นสำหรับไดรฟ์อื่นให้ป้อนอักษรระบุไดรฟ์แทน
ค:
.
จัดการ bde -protectors -add c: -TPMAndPIN
คุณจะได้รับแจ้งให้ป้อน PIN ของคุณที่นี่ ในครั้งต่อไปที่คุณบูตระบบจะขอ PIN นี้
หากต้องการตรวจสอบอีกครั้งว่าได้เพิ่มตัวป้องกัน TPMAndPIN หรือไม่คุณสามารถรันคำสั่งต่อไปนี้:
จัดการ bde -status
(ตัวป้องกันคีย์“ รหัสผ่านตัวเลข” ที่แสดงที่นี่คือคีย์การกู้คืนของคุณ)
วิธีเปลี่ยน PIN BitLocker ของคุณ
หากต้องการเปลี่ยน PIN ในอนาคตให้เปิดหน้าต่างพร้อมรับคำสั่งในฐานะผู้ดูแลระบบและเรียกใช้คำสั่งต่อไปนี้:
จัดการ bde -changepin c:
คุณจะต้องพิมพ์และยืนยัน PIN ใหม่ก่อนดำเนินการต่อ
วิธีลบข้อกำหนด PIN
หากคุณเปลี่ยนใจและต้องการหยุดใช้ PIN ในภายหลังคุณสามารถเลิกทำการเปลี่ยนแปลงนี้ได้
ขั้นแรกคุณจะต้องไปที่หน้าต่าง Group Policy และเปลี่ยนตัวเลือกกลับเป็น“ Allow Startup PIN With TPM” คุณไม่สามารถปล่อยตัวเลือกที่ตั้งไว้เป็น“ ต้องใช้ PIN เริ่มต้นด้วย TPM” มิฉะนั้น Windows จะไม่อนุญาตให้คุณลบ PIN
จากนั้นเปิดหน้าต่างพร้อมรับคำสั่งในฐานะผู้ดูแลระบบและเรียกใช้คำสั่งต่อไปนี้:
จัดการ bde -protectors -add c: -TPM
ซึ่งจะแทนที่ข้อกำหนด“ TPMandPIN” ด้วยข้อกำหนด“ TPM” โดยจะลบ PIN ไดรฟ์ BitLocker ของคุณจะปลดล็อกโดยอัตโนมัติผ่าน TPM ของคอมพิวเตอร์เมื่อคุณบูต
ในการตรวจสอบว่าการดำเนินการนี้เสร็จสมบูรณ์ให้รันคำสั่งสถานะอีกครั้ง:
จัดการ bde -status c:
หากคุณลืม PIN คุณจะต้องระบุรหัสกู้คืน BitLocker ที่คุณควรบันทึกไว้ในที่ปลอดภัยเมื่อคุณเปิดใช้งาน BitLocker สำหรับไดรฟ์ระบบ
