Увімкнення PIN-коду попереднього завантаження BitLocker у Windows
Якщо зашифрувати системний диск Windows за допомогою BitLocker, можна додати PIN-код для додаткової безпеки. Потрібно вводити PIN-код кожного разу, коли ви вмикаєте комп'ютер, доки Windows навіть не запуститься. Це окремо від PIN-коду для входу, який ви вводите після завантаження Windows.
PIN-код перед завантаженням запобігає автоматичному завантаженню ключа шифрування в системну пам'ять під час процесу завантаження, що захищає від атак прямого доступу до пам'яті (DMA) на системи з уразливими до них апаратними засобами. Документація Microsoft пояснює це більш детально.
Перший крок: увімкнути BitLocker (якщо ви ще не маєте)
Це функція BitLocker, тому для встановлення PIN-коду перед завантаженням потрібно використовувати шифрування BitLocker. Це доступне лише у випуску Windows Professional і Professional. Перш ніж ви зможете встановити PIN-код, потрібно ввімкнути BitLocker для системного диска.
Зауважте, що якщо ви ввімкнете BitLocker на комп'ютері без TPM, вам буде запропоновано створити пароль запуску, який буде використовуватися замість модуля TPM. Нижченаведені кроки потрібні лише для ввімкнення BitLocker на комп'ютерах з модулями TPM, які мають більшість сучасних комп'ютерів.
Якщо у вас є домашня версія Windows, ви не зможете використовувати BitLocker. Можливо, замість цього використовується функція шифрування пристроїв, але це не так, як у BitLocker, і не дозволяє вводити ключ запуску.
Крок другий: Увімкніть PIN-коду запуску в редакторі групової політики
Після ввімкнення BitLocker потрібно уникнути використання PIN-коду. Для цього потрібно змінити параметри групової політики. Щоб відкрити редактор групової політики, натисніть Windows + R, введіть “gpedit.msc” у діалоговому вікні Виконати та натисніть клавішу Enter.
Зверніться до конфігурації комп'ютера> Адміністративні шаблони> Компоненти Windows> Шифрування диска BitLocker> Диск операційних систем у вікні групової політики.
Двічі клацніть параметр «Вимагати додаткової аутентифікації при запуску» на правій панелі.
Виберіть "Увімкнено" у верхній частині вікна. Потім клацніть поле в розділі "Налаштувати PIN-код запуску TPM" і виберіть опцію "Потрібний PIN-код для запуску з TPM". Натисніть "OK", щоб зберегти зміни.
Крок третій: Додайте PIN-код до свого диска
Тепер ви можете використовувати manage-bde
додати PIN-код до диска, зашифрованого за допомогою BitLocker.
Для цього запустіть вікно командного рядка як адміністратор. У Windows 10 або 8 клацніть правою кнопкою миші кнопку Пуск і виберіть пункт «Командний рядок (адміністратор)». У Windows 7 знайдіть ярлик "Командний рядок" у меню "Пуск", клацніть його правою кнопкою миші та виберіть "Запуск від імені адміністратора"
Запустіть таку команду. Команда, наведена нижче, працює на диску C: тому, якщо ви бажаєте, щоб для іншого диска був потрібний ключ запуску, введіть його літеру, а не c:
.
manage-bde -protectors -add c: -TPMAndPIN
Тут буде запропоновано ввести PIN-код. Під час наступного завантаження вам буде запропоновано вказати цей PIN-код.
Щоб двічі перевірити, чи було додано захист TPMAndPIN, можна запустити таку команду:
управління-bde -статус
(Захисник клавіші "Числовий пароль", показаний тут, є ключем відновлення.)
Як змінити PIN-код BitLocker
Щоб змінити PIN-код у майбутньому, відкрийте вікно командного рядка як адміністратор і запустіть таку команду:
керувати-bde -changepin c:
Необхідно ввести та підтвердити новий PIN-код, перш ніж продовжити.
Як видалити вимогу щодо PIN-коду
Якщо ви передумали і бажаєте припинити використання PIN-коду пізніше, ви можете скасувати цю зміну.
По-перше, вам потрібно перейти до вікна групової політики та змінити опцію назад на "Дозволити PIN-код для запуску за допомогою TPM". Ви не можете залишити опцію, встановлену для "Необхідний PIN для запуску за допомогою TPM", або Windows не дозволить видалити PIN-код.
Далі відкрийте вікно командного рядка як адміністратор і запустіть таку команду:
manage-bde -protectors -додати c: -TPM
Це замінить вимогу «TPMandPIN» вимогою «TPM», видаливши PIN-код. Диск BitLocker автоматично розблокується через TPM комп'ютера під час завантаження.
Щоб перевірити, що це успішно завершено, знову запустіть команду статусу:
керувати-bde -статус c:
Якщо ви забули PIN-код, потрібно ввести код відновлення BitLocker, який потрібно зберегти в безпечному місці, коли ви ввімкнули BitLocker для системного диска.