Домашняя » как » Как включить предварительную загрузку ПИН-кода BitLocker в Windows

    Как включить предварительную загрузку ПИН-кода BitLocker в Windows

    Если вы шифруете системный диск Windows с помощью BitLocker, вы можете добавить PIN-код для дополнительной безопасности. Вам нужно будет вводить PIN-код каждый раз, когда вы включаете компьютер, прежде чем Windows запустится. Это отдельный от PIN-кода входа в систему, который вы вводите после загрузки Windows.

    Предварительный PIN-код предотвращает автоматическую загрузку ключа шифрования в системную память в процессе загрузки, что защищает от атак прямого доступа к памяти (DMA) на системы с уязвимым для них оборудованием. Документация Microsoft объясняет это более подробно.

    Шаг первый: включите BitLocker (если вы этого еще не сделали)

    Это функция BitLocker, поэтому вы должны использовать шифрование BitLocker для установки ПИН-кода перед загрузкой. Это доступно только в Профессиональных и Корпоративных выпусках Windows. Прежде чем вы сможете установить PIN-код, вы должны включить BitLocker для вашего системного диска.

    Обратите внимание, что если вы не сможете включить BitLocker на компьютере без доверенного платформенного модуля, вам будет предложено создать пароль запуска, который будет использоваться вместо доверенного платформенного модуля. Приведенные ниже шаги необходимы только при включении BitLocker на компьютерах с доверенными платформенными модулями, которые есть на большинстве современных компьютеров..

    Если у вас есть домашняя версия Windows, вы не сможете использовать BitLocker. Вместо этого вы можете использовать функцию шифрования устройства, но она работает не так, как BitLocker, и не позволяет предоставить ключ запуска..

    Шаг второй: Включите ПИН-код запуска в редакторе групповой политики

    После того, как вы включили BitLocker, вам нужно будет приложить все усилия, чтобы включить с ним ПИН-код. Это требует изменения параметров групповой политики. Чтобы открыть редактор групповой политики, нажмите Windows + R, введите «gpedit.msc» в диалоговом окне «Выполнить» и нажмите Enter.

    Перейдите в раздел Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы в окне групповой политики.

    Дважды щелкните параметр «Требовать дополнительную аутентификацию при запуске» на правой панели.

    Выберите «Включено» в верхней части окна здесь. Затем установите флажок «Настроить ПИН-код запуска TPM» и выберите «Требовать ПИН-код запуска с TPM». Нажмите «ОК», чтобы сохранить изменения.

    Шаг третий: добавьте PIN-код к вашему диску

    Теперь вы можете использовать управлять-BDE команда для добавления PIN-кода на диск с шифрованием BitLocker.

    Для этого запустите окно командной строки от имени администратора. В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (Admin)». В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».

    Запустите следующую команду. Приведенная ниже команда работает на вашем диске C :, поэтому, если вам требуется ключ запуска для другого диска, введите его букву вместо с: .

    manage-bde -protectors -add c: -TPMAndPIN

    Вам будет предложено ввести свой PIN-код здесь. При следующей загрузке вам будет предложено ввести этот PIN-код.

    Чтобы дважды проверить, был ли добавлен защитник TPMAndPIN, вы можете выполнить следующую команду:

    manage-bde -status

    (Защитная кнопка «Числовой пароль», отображаемая здесь, является вашим ключом восстановления.)

    Как изменить свой PIN-код BitLocker

    Чтобы изменить ПИН-код в будущем, откройте окно командной строки от имени администратора и выполните следующую команду:

    manage-bde -changepin c:

    Вам нужно будет ввести и подтвердить свой новый PIN-код, прежде чем продолжить.

    Как удалить ПИН-код

    Если вы передумали и хотите прекратить использование PIN-кода позже, вы можете отменить это изменение.

    Во-первых, вам нужно перейти в окно групповой политики и изменить параметр обратно на «Разрешить стартовый ПИН с TPM». Вы не можете оставить параметр «Требовать ПИН-код запуска с TPM», иначе Windows не разрешит вам удалить ПИН-код..

    Затем откройте окно командной строки от имени администратора и выполните следующую команду:

    manage-bde -protectors -add c: -TPM

    Это заменит требование «TPMandPIN» на требование «TPM», удалив PIN-код. Ваш диск BitLocker автоматически разблокируется через TPM вашего компьютера при загрузке.

    Чтобы убедиться, что это выполнено успешно, снова введите команду status:

    manage-bde -status c:


    Если вы забудете ПИН-код, вам нужно будет предоставить код восстановления BitLocker, который вы должны были сохранить в безопасном месте, когда вы включили BitLocker для системного диска..