27Aug
Se você criptografar sua unidade de sistema Windows com o BitLocker, você pode adicionar um PIN para segurança adicional. Você precisará inserir o PIN sempre que ligar o seu PC antes do Windows começar. Isso é separado de um PIN de login, que você inseriu após o Windows ser iniciado.
Um PIN pré-inicialização impede que a chave de criptografia seja carregada automaticamente na memória do sistema durante o processo de inicialização, que protege contra ataques de acesso direto à memória( DMA) em sistemas com hardware vulnerável a eles. A documentação da Microsoft explica isso com mais detalhes.
Passo Um: Ativar o BitLocker( Se você ainda não tiver)
Este é um recurso BitLocker, então você precisa usar a criptografia BitLocker para definir um PIN pré-inicialização. Isso só está disponível em edições Professional e Enterprise do Windows. Antes de poder definir um PIN, você deve habilitar o BitLocker para a unidade do sistema.
Observe que, se você sair do seu caminho para habilitar o BitLocker em um computador sem um TPM, você será solicitado a criar uma senha de inicialização que seja usada em vez do TPM.As etapas abaixo são necessárias apenas ao habilitar o BitLocker em computadores com TPMs, que os computadores mais modernos possuem.
Se você possui uma versão Home do Windows, não poderá usar o BitLocker. Você pode ter o recurso Device Encryption, em vez disso, mas isso funciona de forma diferente do BitLocker e não permite que você forneça uma chave de inicialização.
Etapa dois: habilite o PIN de inicialização no Editor de diretiva de grupo
Depois de ativar o BitLocker, você precisará sair do seu caminho para habilitar um PIN com ele. Isso requer uma alteração de configurações de Diretiva de Grupo. Para abrir o Editor de políticas de grupo, pressione Windows + R, digite "gpedit.msc" na caixa de diálogo Executar e pressione Enter.
Chega à Configuração do Computador & gt;Modelos administrativos & gt;Componentes do Windows & gt;BitLocker Drive Encryption & gt;Drives do sistema operacional na janela de política de grupo.
Clique duas vezes na opção "Exigir Autenticação Adicional no Startup" no painel direito.
Selecione "Ativado" na parte superior da janela aqui. Em seguida, clique na caixa em "Configurar TPM Startup PIN" e selecione a opção "Exigir PIN de Inicialização com TPM".Clique em "OK" para salvar suas alterações.
Passo três: adicione um PIN à sua unidade
Agora você pode usar o comando manage-bde para adicionar o PIN à sua unidade criptografada BitLocker.
Para fazer isso, inicie uma janela do prompt de comando como administrador. No Windows 10 ou 8, clique com o botão direito do mouse no botão Iniciar e selecione "Sinal de comando( Admin)".No Windows 7, encontre o atalho "Prompt de comando" no menu Iniciar, clique com o botão direito do mouse e selecione "Executar como administrador"
Execute o seguinte comando. O comando abaixo funciona na sua unidade C: então, se você deseja exigir uma chave de inicialização para outra unidade, insira a letra da unidade em vez de c:.
manage-bde -protectors -add c: -TPMAndPINVocê será solicitado a inserir seu PIN aqui. Na próxima vez que você inicializar, você receberá esse PIN.
Para verificar novamente se o protetor TPMAndPIN foi adicionado, você pode executar o seguinte comando:
manage-bde -status( O protetor de tecla "Senha Numérica" exibido aqui é a chave de recuperação.)
Como alterar seu BitLocker PIN
Para alterar o PIN no futuro, abra uma janela do prompt de comando como Administrador e execute o seguinte comando:
manage-bde -changepin c:Você precisará digitar e confirmar seu novo PIN antes de continuar.
Como remover o requisito de PIN
Se você mudar de idéia e quiser parar de usar o PIN mais tarde, você pode desfazer essa alteração.
Primeiro, você precisará dirigir-se para a janela de Diretiva de Grupo e alterar a opção de "Permitir PIN de Inicialização com TPM".Você não pode deixar a opção definida como "Exigir PIN de Inicialização com TPM" ou o Windows não permitirá que você remova o PIN.
Em seguida, abra uma janela do prompt de comando como administrador e execute o seguinte comando:
manage-bde -protectors -add c: -TPMIsso substituirá o requisito "TPMandPIN" por um requisito "TPM", excluindo o PIN.Sua unidade BitLocker será desbloqueada automaticamente através do TPM do seu computador quando você inicializar.
Para verificar se isso foi concluído com sucesso, execute novamente o comando de status:
manage-bde -status c: 
Se você esquecer o PIN, você precisará fornecer o código de recuperação do BitLocker, você deve ter salvo em algum lugar seguro quando você ativou o BitLocker para a unidade do sistema.