Cách bật mã PIN BitLocker khởi động trước trên Windows

Jul 6, 2025

Quyền riêng tư và Bảo mật

nếu bạn mã hóa ổ đĩa hệ thống Windows của bạn bằng BitLocker , bạn có thể thêm mã PIN để tăng cường bảo mật. Bạn sẽ cần nhập mã PIN mỗi khi bật PC, trước khi Windows khởi động. Điều này tách biệt với mã PIN đăng nhập , mà bạn nhập sau khi Windows khởi động.

LIÊN QUAN: Cách sử dụng khóa USB để mở khóa PC được mã hóa BitLocker

Mã PIN khởi động trước ngăn khóa mã hóa tự động được tải vào bộ nhớ hệ thống trong quá trình khởi động, bảo vệ chống lại các cuộc tấn công truy cập bộ nhớ trực tiếp (DMA) vào các hệ thống có phần cứng dễ bị tấn công. Tài liệu của Microsoft giải thích điều này chi tiết hơn.

Bước một: Bật BitLocker (Nếu bạn chưa sử dụng)

LIÊN QUAN: Cách thiết lập mã hóa BitLocker trên Windows

Đây là một tính năng của BitLocker, vì vậy bạn phải sử dụng mã hóa BitLocker để đặt mã PIN trước khi khởi động. Tính năng này chỉ khả dụng trên các phiên bản Windows Professional và Enterprise. Trước khi có thể đặt mã PIN, bạn phải kích hoạt BitLocker cho ổ đĩa hệ thống của bạn .

Lưu ý rằng, nếu bạn không muốn bật BitLocker trên máy tính không có TPM , bạn sẽ được nhắc tạo mật khẩu khởi động được sử dụng thay vì TPM. Các bước dưới đây chỉ cần thiết khi bật BitLocker trên máy tính có TPM, hầu hết các máy tính hiện đại có .

Nếu bạn có phiên bản Home của Windows, bạn sẽ không thể sử dụng BitLocker. Bạn có thể có Mã hóa thiết bị thay vào đó, tính năng này hoạt động khác với BitLocker và không cho phép bạn cung cấp khóa khởi động.

Bước hai: Bật mã PIN khởi động trong Trình chỉnh sửa chính sách nhóm

Sau khi đã bật BitLocker, bạn sẽ cần phải cố gắng bật mã PIN cho nó. Điều này yêu cầu thay đổi cài đặt Chính sách Nhóm. Để mở Group Policy Editor, hãy nhấn Windows + R, nhập “gpedit.msc” vào hộp thoại Run và nhấn Enter.

Đi tới Cấu hình máy tính> Mẫu quản trị> Thành phần Windows> Mã hóa ổ BitLocker> Ổ hệ điều hành trong cửa sổ Chính sách nhóm.

Nhấp đúp vào tùy chọn “Yêu cầu xác thực bổ sung khi khởi động” trong ngăn bên phải.

Chọn “Đã bật” ở đầu cửa sổ tại đây. Sau đó, nhấp vào hộp bên dưới “Định cấu hình mã PIN khởi động TPM” và chọn tùy chọn “Yêu cầu mã PIN khởi động với TPM”. Nhấp vào “OK” để lưu các thay đổi của bạn.

Bước 3: Thêm mã PIN vào Drive của bạn

Bây giờ bạn có thể sử dụng quản lý lệnh để thêm mã PIN vào ổ đĩa được mã hóa BitLocker của bạn.

Để thực hiện việc này, hãy khởi chạy cửa sổ Command Prompt với tư cách Quản trị viên. Trên Windows 10 hoặc 8, nhấp chuột phải vào nút Bắt đầu và chọn “Dấu nhắc lệnh (Quản trị)”. Trên Windows 7, tìm lối tắt “Command Prompt” trong menu Start, nhấp chuột phải vào nó và chọn “Run as Administrator”

Chạy lệnh sau. Lệnh dưới đây hoạt động trên ổ C: của bạn, vì vậy nếu bạn muốn yêu cầu khóa khởi động cho ổ khác, hãy nhập ký tự ổ của nó thay vì c: .

management-bde -protectors -add c: -TPMAndPIN

Bạn sẽ được nhắc nhập mã PIN của mình tại đây. Lần khởi động tiếp theo, bạn sẽ được yêu cầu nhập mã PIN này.

Để kiểm tra kỹ xem trình bảo vệ TPMAndPIN đã được thêm hay chưa, bạn có thể chạy lệnh sau:

quản lý-bde -status

(Bộ bảo vệ khóa “Mật khẩu số” được hiển thị ở đây là khóa khôi phục của bạn.)

Cách thay đổi mã PIN BitLocker của bạn

Để thay đổi mã PIN trong tương lai, hãy mở cửa sổ Dấu nhắc lệnh với tư cách Quản trị viên và chạy lệnh sau:

management-bde -changepin c:

Bạn cần nhập và xác nhận mã PIN mới của mình trước khi tiếp tục.

Cách xóa yêu cầu mã PIN

Nếu bạn đổi ý và muốn ngừng sử dụng mã PIN sau đó, bạn có thể hoàn tác thay đổi này.

Trước tiên, bạn cần phải chuyển đến cửa sổ Chính sách nhóm và thay đổi tùy chọn trở lại thành “Cho phép mã PIN khởi động với TPM”. Bạn không thể đặt tùy chọn thành “Yêu cầu mã PIN khởi động với TPM” nếu không Windows sẽ không cho phép bạn xóa mã PIN.

Tiếp theo, mở cửa sổ Command Prompt với tư cách Quản trị viên và chạy lệnh sau:

management-bde -protectors -add c: -TPM

Điều này sẽ thay thế yêu cầu “TPMandPIN” bằng yêu cầu “TPM”, xóa mã PIN. Ổ BitLocker của bạn sẽ tự động mở khóa qua TPM của máy tính khi bạn khởi động.