Как да активирате предварително стартиращ BitLocker PIN на Windows
Ако шифровате системното устройство на Windows с BitLocker, можете да добавите ПИН за допълнителна защита. Ще трябва да въвеждате ПИН всеки път, когато включите компютъра си, преди Windows дори да започне. Това е отделно от паролата за вход, която въвеждате след стартиране на Windows.
ПИН за предварително зареждане предотвратява автоматично зареждане на ключа за шифроване в системната памет по време на процеса на зареждане, което предпазва от атаки с директен достъп до паметта (DMA) върху системи с уязвими хардуерни устройства. Документацията на Microsoft обяснява това по-подробно.
Първа стъпка: активирайте BitLocker (ако вече не сте)
Това е функция на BitLocker, така че трябва да използвате шифроване на BitLocker, за да зададете ПИН за предварително зареждане. Това е достъпно само в изданията на Windows за професионалисти и предприятия. Преди да можете да зададете ПИН, трябва да активирате BitLocker за системното си устройство.
Обърнете внимание, че ако се откажете да активирате BitLocker на компютър без TPM, ще бъдете подканени да създадете парола за стартиране, която се използва вместо TPM. Посочените по-долу стъпки са необходими само когато активирате BitLocker на компютри с TPM, каквито имат повечето модерни компютри.
Ако имате начална версия на Windows, няма да можете да използвате BitLocker. Вместо това може да имате функцията за шифроване на устройства, но това работи по различен начин от BitLocker и не ви позволява да предоставите ключ за стартиране.
Стъпка втора: Активирайте стартовия ПИН в редактора на групови правила
След като активирате BitLocker, ще трябва да излезете от пътя си, за да активирате ПИН с него. Това изисква промяна на настройките на груповите правила. За да отворите редактора на групови правила, натиснете Windows + R, въведете “gpedit.msc” в диалоговия прозорец Run и натиснете Enter.
Насочете се към конфигурацията на компютъра> Административни шаблони> Компоненти на Windows> Шифроване на устройства с BitLocker> Дискови операционни системи в прозореца на груповата политика.
Кликнете два пъти върху опцията „Изискване за допълнителна идентификация при стартиране“ в десния панел.
Изберете “Enabled” в горната част на прозореца. След това щракнете върху квадратчето под „Конфигуриране на началния ПИН за TPM“ и изберете опцията „Изискване за начален ПИН с TPM“. Кликнете върху „OK“, за да запазите промените си.
Трета стъпка: Добавете ПИН към Вашето устройство
Вече можете да използвате управлявате-BDE
команда за добавяне на ПИН кода към устройството, шифровано в BitLocker.
За да направите това, отворете прозореца на командния ред като администратор. В Windows 10 или 8 щракнете с десния бутон върху бутона "Старт" и изберете "Команден ред (Admin)". В Windows 7 намерете прекия път на командния ред в менюто "Старт", щракнете с десния бутон върху него и изберете "Изпълни като администратор"
Изпълнете следната команда. Командата по-долу работи на вашето устройство C: така че ако искате да изисквате стартов ключ за друго устройство, въведете буквата на устройството вместо ° С:
.
manage-bde -protectors -add c: -TPMAndPIN
Тук ще бъдете подканени да въведете своя ПИН. При следващото зареждане ще бъдете помолени за този ПИН.
За да проверите повторно дали е добавен протекторът TPMAndPIN, можете да изпълните следната команда:
управление-bde -статус
(Тук е показан защитникът на „Цифровата парола“, който е ключът за възстановяване.)
Как да промените своя PIN за BitLocker
За да промените ПИН в бъдеще, отворете прозореца на командния ред като администратор и изпълнете следната команда:
manage-bde -changepin c:
Трябва да въведете и потвърдите новия си ПИН, преди да продължите.
Как да премахнете изискването за ПИН
Ако промените решението си и искате да спрете използването на ПИН по-късно, можете да отмените тази промяна.
Първо, трябва да отидете в прозореца на груповата политика и да промените опцията обратно на „Разрешаване на начален PIN с TPM“. Не можете да оставите опцията, зададена за „Изискване за начален ПИН с TPM“, или Windows няма да ви позволи да премахнете ПИН кода.
След това отворете прозореца на командния ред като администратор и изпълнете следната команда:
manage-bde -protectors -add c: -TPM
Това ще замени изискването “TPMandPIN” с изискване “TPM”, като изтрие PIN. Вашето устройство BitLocker автоматично ще отключи чрез TPM на компютъра, когато стартирате.
За да проверите дали това е завършено успешно, изпълнете отново командата за състояние:
управление-bde -статус c:
Ако забравите ПИН кода, трябва да предоставите кода за възстановяване на BitLocker, който трябва да сте запазили на сигурно място, когато сте активирали BitLocker за системното си устройство.