27Aug
Wenn Sie Ihr Windows-Systemlaufwerk mit BitLocker verschlüsseln, können Sie eine PIN für zusätzliche Sicherheit hinzufügen. Sie müssen die PIN jedes Mal eingeben, wenn Sie Ihren PC einschalten, bevor Windows überhaupt gestartet wird. Dies ist getrennt von einer Login-PIN, die Sie nach dem Hochfahren von Windows eingeben.
Eine Pre-Boot-PIN verhindert, dass der Verschlüsselungsschlüssel während des Startvorgangs automatisch in den Systemspeicher geladen wird, wodurch vor DMA-Angriffen( Direct Memory Access) auf Systeme mit einer für sie empfindlichen Hardware geschützt wird. Die Microsoft-Dokumentation erklärt dies genauer.
Schritt 1: BitLocker aktivieren( falls noch nicht geschehen)
Dies ist eine BitLocker-Funktion, daher müssen Sie die BitLocker-Verschlüsselung verwenden, um eine Pre-Boot-PIN festzulegen. Dies ist nur für Professional- und Enterprise-Editionen von Windows verfügbar. Bevor Sie eine PIN festlegen können, müssen Sie BitLocker für das Systemlaufwerk aktivieren.
Beachten Sie, dass Sie aufgefordert werden, ein Startkennwort zu erstellen, das anstelle des TPM verwendet wird, um BitLocker auf einem Computer ohne TPM zu aktivieren. Die folgenden Schritte sind nur erforderlich, wenn Sie BitLocker auf Computern mit TPMs aktivieren, die die meisten modernen Computer haben.
Wenn Sie eine Home-Version von Windows haben, können Sie BitLocker nicht verwenden. Möglicherweise verfügen Sie über die Geräteverschlüsselungsfunktion, die jedoch anders als BitLocker funktioniert und Ihnen das Bereitstellen eines Systemstartschlüssels nicht ermöglicht.
Schritt 2: Aktivieren Sie die Startup-PIN im Gruppenrichtlinien-Editor
Nachdem Sie BitLocker aktiviert haben, müssen Sie alle erforderlichen Schritte ausführen, um eine PIN zu aktivieren. Dies erfordert eine Änderung der Gruppenrichtlinieneinstellungen. Um den Gruppenrichtlinien-Editor zu öffnen, drücken Sie Windows + R, geben Sie "gpedit.msc" in das Dialogfeld "Ausführen" ein und drücken Sie die Eingabetaste.
Head to Computer Konfiguration & gt;Administrative Vorlagen & gt;Windows-Komponenten & gt;BitLocker-Laufwerkverschlüsselung & gt;Betriebssystem Laufwerke im Gruppenrichtlinienfenster.
Doppelklicken Sie im rechten Bereich auf die Option "Zusätzliche Authentifizierung beim Start anfordern".
Wählen Sie oben im Fenster "Aktiviert" aus. Klicken Sie dann auf das Feld unter "Configure TPM Startup PIN" und wählen Sie die Option "Require Startup PIN With TPM".Klicken Sie auf "OK", um Ihre Änderungen zu speichern.
Schritt 3: Hinzufügen einer PIN zu Ihrem Laufwerk
Sie können jetzt den Befehl manage-bde verwenden, um die PIN zu Ihrem BitLocker-verschlüsselten Laufwerk hinzuzufügen.
Starten Sie dazu ein Eingabeaufforderungsfenster als Administrator. Unter Windows 10 oder 8 klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie "Eingabeaufforderung( Admin)".Unter Windows 7 finden Sie die Verknüpfung "Eingabeaufforderung" im Startmenü, klicken Sie mit der rechten Maustaste darauf und wählen Sie "Als Administrator ausführen".
Führen Sie den folgenden Befehl aus. Der folgende Befehl funktioniert auf Laufwerk C: Wenn Sie einen Startschlüssel für ein anderes Laufwerk benötigen, geben Sie den Laufwerkbuchstaben anstelle von c: ein.
manage-bde -protectors -add c: -TPMAndPINHier werden Sie aufgefordert, Ihre PIN einzugeben. Beim nächsten Booten werden Sie nach dieser PIN gefragt.
Um zu überprüfen, ob der TPMAndPIN-Beschützer hinzugefügt wurde, können Sie den folgenden Befehl ausführen:
manage-bde -status( Der hier angezeigte "Numerische Kennwort" -Schutzschlüssel ist Ihr Wiederherstellungsschlüssel.)
So ändern Sie Ihre BitLocker-PIN
Um die PIN in Zukunft zu ändern, öffnen Sie ein Eingabeaufforderungsfenster als Administrator und führen Sie den folgenden Befehl aus:
manage-bde -changepin c:Bevor Sie fortfahren, müssen Sie Ihre neue PIN eingeben und bestätigen.
So entfernen Sie die PIN-Anforderung
Wenn Sie Ihre Meinung geändert haben und die PIN später nicht mehr verwenden möchten, können Sie diese Änderung rückgängig machen.
Zuerst müssen Sie zum Gruppenrichtlinienfenster wechseln und die Option zurück auf "Start-PIN mit TPM zulassen" ändern. Sie können die Option nicht auf "Erfordert Startup-PIN mit TPM" setzen oder Windows lässt das Entfernen der PIN nicht zu.
Als nächstes öffnen Sie ein Eingabeaufforderungsfenster als Administrator und führen den folgenden Befehl aus:
manage-bde -protectors -add c: -TPMDies ersetzt die Anforderung "TPMandPIN" durch eine Anforderung "TPM" und löscht die PIN.Ihr BitLocker-Laufwerk wird beim Booten automatisch über das TPM Ihres Computers entsperrt.
Um zu überprüfen, ob dies erfolgreich ausgeführt wurde, führen Sie den Befehl status erneut aus:
manage-bde -status c: 
Wenn Sie die PIN vergessen haben, müssen Sie den BitLocker-Wiederherstellungscode angeben, den Sie sicher gespeichert haben sollten, wenn Sie BitLocker für Ihr Systemlaufwerk aktiviert haben.
