27Aug
Si vous cryptez votre lecteur système Windows avec BitLocker, vous pouvez ajouter un code PIN pour plus de sécurité.Vous devrez entrer le code PIN chaque fois que vous allumerez votre ordinateur, avant même que Windows ne démarre. Ceci est distinct d'un code PIN de connexion, que vous entrez après le démarrage de Windows.
Un code PIN de pré-démarrage empêche le chargement automatique de la clé de chiffrement dans la mémoire système pendant le processus de démarrage, ce qui protège contre les attaques par accès direct à la mémoire( DMA) sur les systèmes avec du matériel vulnérable. La documentation de Microsoft explique cela plus en détail.
Étape 1: Activer BitLocker( si vous ne l'avez pas déjà fait)
Il s'agit d'une fonctionnalité BitLocker, vous devez donc utiliser le chiffrement BitLocker pour définir un code PIN de pré-démarrage. Ceci est uniquement disponible sur les éditions Professional et Enterprise de Windows. Avant de pouvoir définir un code confidentiel, vous devez activer BitLocker pour votre lecteur système.
Notez que, si vous vous efforcez d'activer BitLocker sur un ordinateur sans TPM, vous serez invité à créer un mot de passe de démarrage utilisé à la place du module TPM.Les étapes ci-dessous sont uniquement nécessaires lors de l'activation de BitLocker sur les ordinateurs équipés de TPM, ce qui est le cas pour les ordinateurs les plus modernes.
Si vous avez une version Home de Windows, vous ne pourrez pas utiliser BitLocker. Vous pouvez avoir la fonctionnalité Device Encryption à la place, mais cela fonctionne différemment de BitLocker et ne vous permet pas de fournir une clé de démarrage.
Étape 2: Activer le code PIN de démarrage dans l'éditeur de stratégie de groupe
Une fois que vous avez activé BitLocker, vous devez faire tout son possible pour activer un code confidentiel. Cela nécessite un changement de paramètres de stratégie de groupe. Pour ouvrir l'éditeur de stratégie de groupe, appuyez sur Windows + R, tapez "gpedit.msc" dans la boîte de dialogue Exécuter, puis appuyez sur Entrée.
Tête à la configuration de l'ordinateur & gt;Modèles d'administration & gt;Composants Windows & gt;BitLocker Drive Encryption & gt;Lecteurs de système d'exploitation dans la fenêtre Stratégie de groupe.
Double-cliquez sur l'option "Nécessite une authentification supplémentaire au démarrage" dans le volet de droite.
Sélectionnez "Activé" en haut de la fenêtre ici. Ensuite, cliquez sur la case "Configurer le code PIN de démarrage TPM" et sélectionnez l'option "Demander le code PIN de démarrage avec TPM".Cliquez sur "OK" pour enregistrer vos modifications.
Étape 3: Ajouter un code PIN à votre lecteur
Vous pouvez maintenant utiliser la commande manage-bde pour ajouter le code PIN à votre lecteur chiffré BitLocker.
Pour ce faire, lancez une fenêtre d'invite de commandes en tant qu'administrateur. Sous Windows 10 ou 8, cliquez avec le bouton droit sur le bouton Démarrer et sélectionnez "Invite de commandes( Admin)".Sur Windows 7, recherchez le raccourci "Invite de commandes" dans le menu Démarrer, cliquez dessus avec le bouton droit de la souris et sélectionnez "Exécuter en tant qu'administrateur"
Exécutez la commande suivante. La commande ci-dessous fonctionne sur votre lecteur C: , si vous voulez une clé de démarrage pour un autre lecteur, entrez sa lettre de lecteur au lieu de c:.
manage-bde -protectors -add c: -TPMAndPINVous serez invité à entrer votre code PIN ici. La prochaine fois que vous démarrerez, ce code PIN vous sera demandé.
Pour vérifier si le protecteur TPMAndPIN a été ajouté, vous pouvez exécuter la commande suivante:
manage-bde -status( Le protecteur de clé "Mot de passe numérique" affiché ici est votre clé de récupération.)
Comment modifier votre code PIN BitLocker
Pour modifier le code PIN dans le futur, ouvrez une fenêtre d'invite de commande en tant qu'administrateur et exécutez la commande suivante:
manage-bde -changepin c:Vous devrez taper et confirmer votre nouveau code PIN avant de continuer.
Comment supprimer le code PIN requis
Si vous changez d'avis et que vous souhaitez arrêter d'utiliser le code PIN ultérieurement, vous pouvez annuler cette modification.
Tout d'abord, vous devez vous diriger vers la fenêtre de stratégie de groupe et redéfinir l'option sur "Autoriser le code PIN de démarrage avec TPM".Vous ne pouvez pas laisser l'option définie sur "Exiger le code PIN de démarrage avec TPM" ou Windows ne vous permettra pas de supprimer le code PIN.
Ensuite, ouvrez une fenêtre d'invite de commandes en tant qu'administrateur et exécutez la commande suivante:
manage-bde -protectors -add c: -TPMCela remplacera l'exigence "TPMandPIN" par une exigence "TPM", en supprimant le code PIN.Votre lecteur BitLocker se déverrouillera automatiquement via le TPM de votre ordinateur lorsque vous démarrerez.
Pour vérifier que cela s'est terminé avec succès, réexécutez la commande d'état:
manage-bde -status c:
Si vous oubliez le code PIN, vous devrez fournir le code de récupération BitLocker que vous auriez dû enregistrer dans un endroit sûr lorsque vous avez activé BitLocker pour votre lecteur système.