27Aug

Jak włączyć PIN uruchamiania funkcji BitLocker w systemie Windows

Jeśli szyfrujesz dysk systemu Windows za pomocą funkcji BitLocker, możesz dodać kod PIN w celu dodatkowego zabezpieczenia. Będziesz musiał wprowadzić kod PIN przy każdym włączeniu komputera, zanim system Windows zacznie działać.Jest to oddzielne od kodu PIN logowania, który wprowadzasz po uruchomieniu systemu Windows.

Pre-boot PIN zapobiega automatycznemu ładowaniu klucza szyfrującego do pamięci systemowej podczas procesu rozruchu, co chroni przed atakami bezpośredniego dostępu do pamięci( DMA) na systemy ze sprzętem podatnym na nie. Dokumentacja Microsoft wyjaśnia to bardziej szczegółowo.

Krok 1: Włącz funkcję BitLocker( jeśli jeszcze nie była)

Jest to funkcja funkcji BitLocker, więc aby ustawić kod PIN przed uruchomieniem, należy użyć szyfrowania BitLocker. Jest to dostępne tylko w wersjach Professional i Enterprise systemu Windows. Zanim będzie można ustawić kod PIN, należy włączyć funkcję BitLocker dla dysku systemowego.

Zwróć uwagę, że jeśli zrobisz wszystko, aby włączyć funkcję BitLocker na komputerze bez modułu TPM, zostanie wyświetlony monit o utworzenie hasła startowego, które jest używane zamiast modułu TPM.Poniższe kroki są konieczne tylko przy włączaniu funkcji BitLocker na komputerach z modułem TPM, który ma większość współczesnych komputerów.

Jeśli masz wersję domową systemu Windows, nie będziesz mógł używać funkcji BitLocker. Zamiast tego możesz mieć funkcję szyfrowania urządzenia, ale działa ona inaczej niż funkcja BitLocker i nie pozwala na podanie klucza uruchamiania.

Krok 2: Włącz kod PIN uruchomienia w edytorze zasad grupy

Po włączeniu funkcji BitLocker musisz wykonać kilka kroków, aby włączyć kod PIN za jego pomocą.Wymaga to zmiany ustawień zasad grupy. Aby otworzyć Edytor zasad grupy, naciśnij Windows + R, wpisz "gpedit.msc" w oknie dialogowym Uruchom i naciśnij Enter.

Przejdź do konfiguracji komputera & gt;Szablony administracyjne & gt;Windows Components & gt;Szyfrowanie dysków funkcją BitLocker & gt;Dyski systemu operacyjnego w oknie Zasady grupy.

Kliknij dwukrotnie opcję "Wymagaj dodatkowego uwierzytelnienia przy starcie" w prawym okienku.

Wybierz "Włączone" w górnej części okna. Następnie kliknij pole "Konfiguruj PIN uruchomienia TPM" i wybierz opcję "Wymagaj uruchomienia PIN przy TPM".Kliknij "OK", aby zapisać zmiany.

Krok trzeci: Dodaj kod PIN do napędu

Teraz możesz użyć polecenia manage-bde, aby dodać kod PIN do dysku zaszyfrowanego funkcją BitLocker.

Aby to zrobić, uruchom okno wiersza polecenia jako Administrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz "Command Prompt( Admin)".W systemie Windows 7 znajdź skrót "Wiersz polecenia" w menu Start, kliknij go prawym przyciskiem myszy i wybierz "Uruchom jako administrator"

Uruchom następującą komendę.Poniższe polecenie działa na twoim dysku C: , więc jeśli chcesz wymagać klucza uruchamiania dla innego dysku, wpisz jego literę zamiast c:.

manage-bde -protectors -add c: -TPMAndPIN

Zostaniesz poproszony o podanie kodu PIN tutaj. Przy następnym uruchomieniu pojawi się prośba o podanie kodu PIN.

Aby dwukrotnie sprawdzić, czy protektor TPMAndPIN został dodany, można uruchomić następującą komendę:

manage-bde -status

( Tutaj wyświetlany jest klucz zabezpieczający "Hasło numeryczne").

Jak zmienić kod BitLocker

Aby zmienić kod PIN w przyszłości, otwórz okno wiersza polecenia jako Administrator i uruchom następujące polecenie:

manage-bde -changepin c:

Przed kontynuowaniem musisz wpisać i potwierdzić swój nowy kod PIN.

Jak usunąć kod PIN Wymagania

Jeśli zmienisz zdanie i nie chcesz później korzystać z kodu PIN, możesz cofnąć tę zmianę.

Najpierw musisz przejść do okna Zasad grupy i zmienić opcję z powrotem na "Zezwalaj na uruchamianie PIN z TPM".Nie można pozostawić opcji ustawionej na "Wymagaj kodu PIN przy starcie z TPM" lub system Windows nie pozwoli na usunięcie kodu PIN.

Następnie otwórz okno wiersza polecenia jako Administrator i uruchom następujące polecenie:

manage-bde -protectors -add c: -TPM

To zastąpi wymóg "TPMandPIN" wymogiem "TPM", usuwając kod PIN.Napęd BitLocker zostanie automatycznie odblokowany za pomocą modułu TPM komputera po uruchomieniu.

Aby sprawdzić, czy to się udało, ponownie uruchom komendę statusu:

manage-bde -status c:

Jeśli zapomnisz kodu PIN, musisz podać kod odzyskiwania funkcji BitLocker, który powinien być zapisany w bezpiecznym miejscu, po włączeniu funkcji BitLocker dla dysku systemowego.