Jeśli szyfrujesz dysk systemu Windows za pomocą funkcji BitLocker, możesz dodać kod PIN, aby zapewnić dodatkowe zabezpieczenia. Będziesz musiał wprowadzić kod PIN przy każdym włączeniu komputera, zanim system Windows zacznie działać. Jest to oddzielne od kodu PIN logowania, który wprowadzasz po uruchomieniu systemu Windows.
Kod PIN przed uruchomieniem zapobiega automatycznemu ładowaniu klucza szyfrującego do pamięci systemowej podczas procesu rozruchu, co chroni przed atakami bezpośredniego dostępu do pamięci (DMA) na systemy ze sprzętem, który jest dla nich podatny. Dokumentacja Microsoft wyjaśnia to bardziej szczegółowo.
Jest to funkcja BitLocker, więc musisz użyć szyfrowania BitLocker, aby ustawić kod PIN przed uruchomieniem. Jest to dostępne tylko w wersjach Professional i Enterprise systemu Windows. Zanim będzie można ustawić kod PIN, należy włączyć funkcję BitLocker dla dysku systemowego.
Zwróć uwagę, że jeśli zrobisz wszystko, aby włączyć funkcję BitLocker na komputerze bez modułu TPM, zostanie wyświetlony monit o utworzenie hasła startowego, które jest używane zamiast modułu TPM. Poniższe kroki są konieczne tylko przy włączaniu funkcji BitLocker na komputerach z modułem TPM, który ma większość współczesnych komputerów.
Jeśli masz wersję domową systemu Windows, nie będziesz mógł używać funkcji BitLocker. Zamiast tego możesz mieć funkcję szyfrowania urządzenia, ale działa ona inaczej niż funkcja BitLocker i nie pozwala na podanie klucza uruchamiania.
Po włączeniu funkcji BitLocker musisz zlikwidować swój kod PIN, aby włączyć kod PIN. Wymaga to zmiany ustawień zasad grupy. Aby otworzyć Edytor zasad grupy, naciśnij Windows + R, wpisz "gpedit.msc" w oknie dialogowym Uruchom i naciśnij Enter.
Przejdź do Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Szyfrowanie dysków funkcją BitLocker> Dyski systemu operacyjnego w oknie Zasady grupy.
Kliknij dwukrotnie opcję "Wymagaj dodatkowego uwierzytelnienia przy starcie" w prawym okienku.
Wybierz "Włączone" w górnej części okna. Następnie kliknij pole "Konfiguruj PIN uruchomienia TPM" i wybierz opcję "Wymagaj uruchomienia PIN przy TPM". Kliknij "OK", aby zapisać zmiany.
Możesz teraz użyć manage-bde
polecenie, aby dodać kod PIN do dysku zaszyfrowanego funkcją BitLocker.
Aby to zrobić, uruchom okno wiersza polecenia jako Administrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz "Command Prompt (Admin)". W systemie Windows 7 znajdź skrót "Wiersz polecenia" w menu Start, kliknij go prawym przyciskiem myszy i wybierz "Uruchom jako administrator"
Uruchom następujące polecenie. Poniższe polecenie działa na dysku C :, więc jeśli chcesz wymagać klucza uruchamiania dla innego dysku, wpisz jego literę dysku zamiast do:
.
manage-bde -protectors -add c: -TPMAndPIN
Zostaniesz poproszony o podanie kodu PIN tutaj. Przy następnym uruchomieniu będziesz proszony o podanie tego PIN-u.
Aby dwukrotnie sprawdzić, czy protektor TPMAndPIN został dodany, możesz uruchomić następujące polecenie:
manage-bde -status
(Tutaj wyświetlany jest klucz zabezpieczający "Hasło numeryczne").
Aby zmienić kod PIN w przyszłości, otwórz okno wiersza polecenia jako Administrator i uruchom następujące polecenie:
manage-bde -changepin c:
Zanim przejdziesz dalej, musisz wpisać i potwierdzić swój nowy kod PIN.
Jeśli zmienisz zdanie i chcesz przestać używać kodu PIN później, możesz cofnąć tę zmianę.
Najpierw musisz przejść do okna zasad grupy i zmienić opcję z powrotem na "Zezwalaj na uruchamianie PIN z TPM". Nie można pozostawić opcji ustawionej na "Wymagaj kodu PIN przy starcie z TPM" lub system Windows nie pozwoli na usunięcie kodu PIN.
Następnie otwórz okno wiersza polecenia jako Administrator i uruchom następujące polecenie:
manage-bde -protectors -add c: -TPM
Spowoduje to zastąpienie wymogu "TPMandPIN" wymogiem "TPM", co spowoduje usunięcie kodu PIN. Napęd BitLocker zostanie automatycznie odblokowany za pomocą modułu TPM komputera po uruchomieniu.
Aby sprawdzić, czy to się udało, ponownie uruchom komendę status:
manage-bde -status c:
Jeśli zapomnisz kodu PIN, musisz podać kod odzyskiwania funkcji BitLocker, który powinien być zapisany w bezpiecznym miejscu, po włączeniu funkcji BitLocker dla dysku systemowego.