Ако шифровате системното устройство на Windows с BitLocker, можете да добавите ПИН за допълнителна сигурност. Ще трябва да въвеждате ПИН кода всеки път, когато включите компютъра си, преди Windows дори да започне. Това е отделно от PIN за вход, който влизате след като Windows се зарежда.
ПИН кодът за предварително зареждане предотвратява автоматично зареждането на ключ за шифроване в системната памет по време на процеса на зареждане, което предпазва атаките от директен достъп до паметта (DMA) на системи с хардуер, уязвими към тях. Документацията на Microsoft обяснява това по-подробно.
Това е функция на BitLocker, така че трябва да използвате шифроване на BitLocker, за да зададете ПИН код преди стартиране. Това е налице само в изданията Professional и Enterprise на Windows. Преди да можете да зададете ПИН код, трябва да активирате BitLocker за системното си устройство.
Имайте предвид, че ако излезете от пътя си, за да активирате BitLocker на компютър без TPM, ще бъдете подканени да създадете стартова парола, която да се използва вместо TPM. Следващите стъпки са необходими само при активиране на BitLocker на компютри с TPM, които имат най-модерните компютри.
Ако имате начална версия на Windows, няма да можете да използвате BitLocker. Вместо това може да имате функцията Шифроване на устройството, но това работи по различен начин от BitLocker и не ви позволява да предоставите стартов ключ.
След като активирате BitLocker, ще трябва да излезете от пътя си, за да активирате ПИН с него. Това изисква промяна в настройките на груповите правила. За да отворите редактора за групови правила, натиснете Windows + R, въведете "gpedit.msc" в диалоговия прозорец Изпълнение и натиснете Enter.
Насочете към Компютърна конфигурация> Административни шаблони> Компоненти на Windows> Шифроване на устройство BitLocker> Драйверите на операционната система в прозореца за групови правила.
Кликнете два пъти върху опцията "Необходима допълнителна удостоверяване при стартиране" в десния панел.
Изберете "Активирано" в горната част на прозореца тук. След това кликнете върху квадратчето в "Конфигуриране на ПИН за стартиране на TPM" и изберете опцията "Изисква се стартиране на ПИН с TPM". Кликнете върху "OK", за да запазите промените си.
Сега можете да използвате управлявате-BDE команда за добавяне на ПИН към кодираното от BitLocker устройство.
За да направите това, стартирайте прозореца на командния прозорец като администратор. В Windows 10 или 8 щракнете с десния бутон на мишката върху бутона "Старт" и изберете "Command Prompt (Admin)". В Windows 7 намерете командата "Command Prompt" в менюто "Старт", щракнете с десния бутон върху него и изберете "Пусни като администратор"
Изпълнете следната команда. Командата по-долу работи на вашето C: устройство, така че ако искате да изисквате стартов ключ за друго устройство, въведете буквата на устройството вместо ° С: .
управление-bde -protectors -Add c: -TPMAndPIN
Ще бъдете подканени да въведете своя ПИН тук. Следващия път, когато стартирате, ще бъдете помолени за този ПИН код.
За да проверите дали защитното устройство TPMAndPIN е добавено, можете да изпълните следната команда:
управлявате-bde -status
(Показаният тук защитен ключ за цифровата парола е вашият ключ за възстановяване.)
За да промените ПИН кода в бъдеще, отворете прозореца на командния прозорец като администратор и изпълнете следната команда:
управление-bde-changepin c:
Ще трябва да въведете и потвърдите новия си ПИН, преди да продължите.
Ако промените решението си и искате да прекратите използването на ПИН по-късно, можете да отмените тази промяна.
Първо, трябва да се насочите към прозореца за групови правила и да промените опцията обратно на "Да се разреши стартов ПИН с TPM". Не можете да оставите опцията, зададена в "Изискване за стартиране на ПИН с TPM" или Windows няма да ви позволи да премахнете ПИН кода.
След това отворете прозореца на командния ред като администратор и изпълнете следната команда:
управление-bde -protectors -Add c: -TPM
Това ще замени изискването "TPMandPIN" с изискване "TPM", като изтриете ПИН кода. Вашето устройство BitLocker ще се отключи автоматично чрез TPM на компютъра, когато заредите.
За да проверите дали това е завършено успешно, стартирайте отново командата за състоянието:
управление-bde -status c:
Ако забравите ПИН кода, ще трябва да предоставите кода за възстановяване на BitLocker, който сте запазили някъде безопасно, когато сте активирали BitLocker за системното си устройство.
