Jak włączyć PIN uruchamiania funkcji BitLocker w systemie Windows
Jeśli szyfrujesz dysk systemu Windows za pomocą funkcji BitLocker, możesz dodać kod PIN, aby zapewnić dodatkowe zabezpieczenia. Będziesz musiał wprowadzić kod PIN po każdym włączeniu komputera, zanim system Windows zacznie działać. Jest to oddzielne od kodu PIN logowania, który wprowadzasz po uruchomieniu systemu Windows.
Kod PIN przed uruchomieniem zapobiega automatycznemu ładowaniu klucza szyfrującego do pamięci systemowej podczas procesu rozruchu, co chroni przed atakami bezpośredniego dostępu do pamięci (DMA) na systemy ze sprzętem podatnym na nie. Dokumentacja Microsoft wyjaśnia to bardziej szczegółowo.
Krok pierwszy: Włącz funkcję BitLocker (jeśli jeszcze nie masz)
Jest to funkcja BitLocker, więc musisz użyć szyfrowania BitLocker, aby ustawić kod PIN przed uruchomieniem. Jest to dostępne tylko w wersjach Professional i Enterprise systemu Windows. Zanim będzie można ustawić kod PIN, należy włączyć funkcję BitLocker dla dysku systemowego.
Zwróć uwagę, że jeśli nie chcesz włączać funkcji BitLocker na komputerze bez modułu TPM, zostanie wyświetlony monit o utworzenie hasła startowego, które jest używane zamiast modułu TPM. Poniższe kroki są konieczne tylko przy włączaniu funkcji BitLocker na komputerach z modułami TPM, które są dostępne na większości współczesnych komputerów.
Jeśli masz wersję domową systemu Windows, nie będziesz mógł używać funkcji BitLocker. Zamiast tego możesz mieć funkcję szyfrowania urządzenia, ale działa ona inaczej niż funkcja BitLocker i nie pozwala na podanie klucza uruchamiania.
Krok 2: Włącz PIN uruchomienia w Edytorze zasad grupy
Po włączeniu funkcji BitLocker musisz zlikwidować swój kod PIN. Wymaga to zmiany ustawień zasad grupy. Aby otworzyć Edytor zasad grupy, naciśnij Windows + R, wpisz "gpedit.msc" w oknie dialogowym Uruchom i naciśnij Enter.
Przejdź do Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Szyfrowanie dysków funkcją BitLocker> Dyski systemu operacyjnego w oknie Zasady grupy.
Kliknij dwukrotnie opcję "Wymagaj dodatkowego uwierzytelnienia przy starcie" w prawym okienku.
Wybierz "Włączone" w górnej części okna. Następnie kliknij pole "Konfiguruj PIN uruchomienia TPM" i wybierz opcję "Wymagaj uruchomienia PIN przy TPM". Kliknij "OK", aby zapisać zmiany.
Krok trzeci: dodaj kod PIN do swojego napędu
Możesz teraz użyć manage-bde
polecenie, aby dodać kod PIN do dysku zaszyfrowanego funkcją BitLocker.
Aby to zrobić, uruchom okno wiersza polecenia jako Administrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz "Command Prompt (Admin)". W Windows 7 znajdź skrót "Wiersz polecenia" w menu Start, kliknij go prawym przyciskiem myszy i wybierz "Uruchom jako administrator"
Uruchom następujące polecenie. Poniższe polecenie działa na dysku C :, więc jeśli chcesz wymagać klucza uruchamiania dla innego dysku, wpisz jego literę dysku zamiast do:
.
manage-bde -protectors -add c: -TPMAndPIN
Zostaniesz poproszony o podanie kodu PIN tutaj. Przy następnym uruchomieniu pojawi się prośba o podanie kodu PIN.
Aby dwukrotnie sprawdzić, czy protektor TPMAndPIN został dodany, możesz uruchomić następujące polecenie:
manage-bde -status
(Tutaj wyświetlany jest klucz zabezpieczający "Hasło numeryczne").
Jak zmienić kod PIN funkcji BitLocker
Aby zmienić kod PIN w przyszłości, otwórz okno wiersza polecenia jako Administrator i uruchom następujące polecenie:
manage-bde -changepin c:
Zanim przejdziesz dalej, musisz wpisać i potwierdzić swój nowy PIN.
Jak usunąć zapotrzebowanie na PIN
Jeśli zmienisz zdanie i chcesz przestać używać kodu PIN później, możesz cofnąć tę zmianę.
Najpierw należy przejść do okna Zasad grupowych i zmienić opcję z powrotem na "Zezwalaj na uruchamianie PIN z TPM". Nie można pozostawić opcji ustawionej na "Wymagaj kodu PIN przy starcie z TPM" lub system Windows nie pozwoli na usunięcie kodu PIN.
Następnie otwórz okno wiersza polecenia jako Administrator i uruchom następujące polecenie:
manage-bde -protectors -add c: -TPM
Spowoduje to zastąpienie wymogu "TPMandPIN" wymogiem "TPM", co spowoduje usunięcie kodu PIN. Napęd BitLocker zostanie automatycznie odblokowany za pomocą modułu TPM komputera po uruchomieniu.
Aby sprawdzić, czy to się udało, ponownie uruchom komendę status:
manage-bde -status c:
Jeśli zapomnisz kodu PIN, musisz podać kod odzyskiwania funkcji BitLocker, który powinien być zapisany w bezpiecznym miejscu, po włączeniu funkcji BitLocker dla dysku systemowego.