Pagina principala » HOWTO » Cum se activează un cod PIN BitLocker înainte de pornire pe Windows

    Cum se activează un cod PIN BitLocker înainte de pornire pe Windows

    Dacă criptați unitatea de sistem Windows cu BitLocker, puteți adăuga un cod PIN pentru securitate suplimentară. Va trebui să introduceți codul PIN de fiecare dată când porniți computerul, înainte ca Windows să pornească chiar. Acesta este separat de un cod de conectare, pe care îl introduceți după ce Windows se învârte.

    Un cod PIN pre-boot împiedică încărcarea automată a cheii de criptare în memoria sistemului în timpul procesului de încărcare, care protejează împotriva atacurilor de acces direct la memorie (DMA) pe sistemele cu hardware vulnerabil la acestea. Documentația Microsoft explică acest lucru în detaliu.

    Pasul unu: Activează BitLocker (dacă nu ai deja)

    Aceasta este o caracteristică BitLocker, deci trebuie să utilizați criptarea BitLocker pentru a seta un cod PIN înainte de pornire. Acest lucru este disponibil numai în edițiile Professional și Enterprise ale Windows. Înainte de a putea seta un cod PIN, trebuie să activați BitLocker pentru unitatea de sistem.

    Rețineți că, dacă ieșiți din calea dvs. pentru a activa BitLocker pe un computer fără un TPM, vi se va solicita să creați o parolă de pornire utilizată în locul TPM. Pașii de mai jos sunt necesari numai atunci când se activează BitLocker pe computerele cu dispozitive TPM, pe care le au cele mai moderne computere.

    Dacă aveți o versiune Home a Windows, nu veți putea utiliza BitLocker. Este posibil să aveți în loc funcția Encryption Device, dar aceasta funcționează diferit de BitLocker și nu vă permite să furnizați o cheie de pornire.

    Pasul al doilea: activați PIN-ul de pornire în Editorul de politici de grup

    După ce ați activat BitLocker, va trebui să ieșiți din calea dvs. pentru a activa un cod PIN cu acesta. Aceasta necesită o schimbare a setărilor politicii de grup. Pentru a deschide Editorul de politici de grup, apăsați Windows + R, tastați "gpedit.msc" în dialogul Executare și apăsați Enter.

    Accesați Configurare computer> Șabloane administrative> Componente Windows> Criptare unitate BitLocker> Driverele sistemului de operare în fereastra Politică de grup.

    Faceți dublu clic pe opțiunea "Aveți nevoie de autentificare suplimentară la pornire" din panoul din dreapta.

    Selectați "Activat" în partea de sus a ferestrei aici. Apoi, dați clic pe caseta din "Configurați PIN-ul de pornire TPM" și selectați opțiunea "Solicitare cod PIN pornire cu TPM". Faceți clic pe "OK" pentru a salva modificările.

    Pasul al treilea: adăugați un cod PIN la unitatea dvs.

    Acum puteți folosi gestiona-BDE comanda pentru a adăuga codul PIN la unitatea dvs. criptată BitLocker.

    Pentru a face acest lucru, lansați o fereastră de comandă ca Administrator. În Windows 10 sau 8, faceți clic dreapta pe butonul Start și selectați "Command Prompt (Admin)". În Windows 7, găsiți comanda rapidă "Command Prompt" din meniul Start, faceți clic dreapta pe el și selectați "Run as Administrator"

    Rulați următoarea comandă. Comanda de mai jos funcționează pe unitatea dvs. C: dacă doriți să aveți nevoie de o tastă de pornire pentru o altă unitate, introduceți litera unității în loc de c: .

    gestionați-bde -protectorii -add c: -TPMAndPIN

    Vi se va solicita să introduceți codul PIN aici. Data viitoare când porniți, vi se va solicita acest cod PIN.

    Pentru a verifica dacă protecția TPMAndPIN a fost adăugată, puteți rula următoarea comandă:

    gestionați-bde -status

    (Protecția cheii "Numeric Password" afișată aici este cheia de recuperare.)

    Modificarea codului dvs. BitLocker

    Pentru a schimba codul PIN în viitor, deschideți o fereastră Prompt comandă ca Administrator și executați următoarea comandă:

    manage-bde -changepin c:

    Va trebui să introduceți și să confirmați codul PIN nou înainte de a continua.

    Cum să eliminați cerința PIN

    Dacă vă răzgândiți și doriți să nu mai utilizați codul PIN mai târziu, puteți anula această modificare.

    În primul rând, va trebui să vă îndreptați către fereastra Politică de grup și să schimbați opțiunea la "Permiteți PIN-ul de pornire cu TPM". Nu puteți lăsa opțiunea setată la "Necesită un PIN de pornire cu TPM" sau Windows nu vă va permite să eliminați codul PIN.

    Apoi, deschideți o fereastră Prompt comandă ca Administrator și executați următoarea comandă:

    gestionați-bde -protectorii -add c: -TPM

    Aceasta va înlocui cerința "TPMandPIN" cu o cerință "TPM", eliminând codul PIN. Unitatea dvs. BitLocker va fi deblocată automat prin TPM-ul computerului atunci când boot-ați.

    Pentru a verifica dacă aceasta a fost finalizată cu succes, executați din nou comanda de stare:

    manage-bde -status c:


    Dacă ați uitat codul PIN, va trebui să furnizați codul de recuperare BitLocker pe care ar fi trebuit să-l salvați undeva în siguranță atunci când ați activat BitLocker pentru unitatea de sistem.