27Aug
Si cifra su unidad del sistema de Windows con BitLocker, puede agregar un PIN para mayor seguridad. Tendrá que ingresar el PIN cada vez que encienda su PC, incluso antes de que Windows se inicie. Esto es independiente de un PIN de inicio de sesión, que usted ingresa después de iniciar Windows.
Un PIN de preinicio impide que la clave de cifrado se cargue automáticamente en la memoria del sistema durante el proceso de arranque, lo que protege contra ataques de acceso directo a memoria( DMA) en sistemas con hardware vulnerable a ellos. La documentación de Microsoft explica esto con más detalle.
Paso uno: habilite BitLocker( si no lo ha hecho)
Esta es una característica de BitLocker, por lo que debe usar el cifrado de BitLocker para establecer un PIN previo al inicio. Esto solo está disponible en las ediciones Professional y Enterprise de Windows. Antes de que pueda establecer un PIN, debe habilitar BitLocker para la unidad del sistema.
Tenga en cuenta que, si hace todo lo posible para habilitar BitLocker en una computadora sin un TPM, se le pedirá que cree una contraseña de inicio que se utiliza en lugar del TPM.Los siguientes pasos solo son necesarios cuando se habilita BitLocker en computadoras con TPM, que tienen la mayoría de las computadoras modernas.
Si tiene una versión de inicio de Windows, no podrá usar BitLocker. En su lugar, puede tener la función de cifrado del dispositivo, pero esto funciona de manera diferente a BitLocker y no le permite proporcionar una clave de inicio.
Paso dos: Habilite el PIN de inicio en el Editor de políticas de grupo
Una vez que haya habilitado BitLocker, deberá hacer todo lo posible para habilitar un PIN con él. Esto requiere un cambio en la configuración de la Política de grupo. Para abrir el Editor de directivas de grupo, presione Windows + R, escriba "gpedit.msc" en el cuadro de diálogo Ejecutar y presione Entrar.
Dirígete a Configuración de equipo & gt;Plantillas administrativas & gt;Componentes de Windows & gt;Cifrado de unidad BitLocker & gt;El sistema operativo se mueve en la ventana de Política de grupo.
Haga doble clic en la opción "Requerir autenticación adicional al iniciar" en el panel derecho.
Seleccione "Activado" en la parte superior de la ventana aquí.A continuación, haga clic en el cuadro debajo de "Configurar PIN de inicio de TPM" y seleccione la opción "Solicitar PIN de inicio con TPM".Haga clic en "Aceptar" para guardar sus cambios.
Paso tres: Agregue un PIN a su unidad
Ahora puede usar el comando manage-bde para agregar el PIN a su unidad BitLocker-encrypted.
Para ello, inicie una ventana del símbolo del sistema como administrador. En Windows 10 u 8, haga clic con el botón derecho en el botón Inicio y seleccione "Símbolo del sistema( Administrador)".En Windows 7, busque el acceso directo "Símbolo del sistema" en el menú Inicio, haga clic con el botón derecho y seleccione "Ejecutar como administrador".
Ejecute el siguiente comando. El siguiente comando funciona en su unidad C: entonces, si desea solicitar una clave de inicio para otra unidad, ingrese su letra de unidad en lugar de c:.
manage-bde-protectors -add c: -TPMAndPINSe le pedirá que ingrese su PIN aquí.La próxima vez que inicie, se le pedirá este PIN.
Para verificar si se agregó el protector TPMAndPIN, puede ejecutar el siguiente comando:
manage-bde -status( El protector de la clave de "Contraseña numérica" que se muestra aquí es su clave de recuperación).
Cómo cambiar su PIN de BitLocker
Para cambiar el PIN en el futuro, abra una ventana del símbolo del sistema como administrador y ejecute el siguiente comando:
manage-bde -changepin c:Deberá escribir y confirmar su nuevo PIN antes de continuar.
Cómo eliminar el requisito de PIN
Si cambia de opinión y quiere dejar de usar el PIN más adelante, puede deshacer este cambio.
Primero, debe dirigirse a la ventana de Política de grupo y cambiar la opción a "Permitir PIN de inicio con TPM".No puede dejar la opción establecida en "Requerir PIN de inicio con TPM" o Windows no le permitirá eliminar el PIN.
A continuación, abra una ventana del símbolo del sistema como administrador y ejecute el siguiente comando:
manage-bde -protectors -add c: -TPMEsto reemplazará el requisito "TPMandPIN" con un requisito de "TPM", eliminando el PIN.Su unidad BitLocker se desbloqueará automáticamente a través del TPM de su computadora cuando arranque.
Para comprobar que esto se completó correctamente, vuelva a ejecutar el comando de estado:
manage-bde -status c: 
Si olvida el PIN, deberá proporcionar el código de recuperación de BitLocker que debería haber guardado en un lugar seguro cuando habilitó BitLocker para la unidad del sistema.
