Если вы шифруете системный диск Windows с помощью BitLocker, вы можете добавить PIN-код для дополнительной безопасности. Вам нужно будет вводить PIN-код каждый раз, когда вы включаете компьютер, прежде чем Windows запустится. Это отдельно от PIN-кода входа, который вы вводите после загрузки Windows.
Предварительный PIN-код предотвращает автоматическую загрузку ключа шифрования в системную память в процессе загрузки, что защищает от атак прямого доступа к памяти (DMA) на системы с уязвимым для них оборудованием. Документация Microsoft объясняет это более подробно.
Шаг первый: включите BitLocker (если вы этого еще не сделали)
Это функция BitLocker, поэтому вы должны использовать шифрование BitLocker для установки ПИН-кода перед загрузкой. Это доступно только в Профессиональных и Корпоративных выпусках Windows. Прежде чем вы сможете установить PIN-код, вы должны включить BitLocker для вашего системного диска.
Обратите внимание, что если вы не сможете включить BitLocker на компьютере без доверенного платформенного модуля, вам будет предложено создать пароль запуска, который будет использоваться вместо доверенного платформенного модуля. Следующие шаги необходимы только при включении BitLocker на компьютерах с доверенными платформенными модулями, которые есть на большинстве современных компьютеров.
Если у вас есть домашняя версия Windows, вы не сможете использовать BitLocker. Вместо этого вы можете использовать функцию шифрования устройства, но она работает не так, как BitLocker, и не позволяет предоставить ключ запуска.
Шаг второй: Включите ПИН-код запуска в редакторе групповой политики
После того, как вы включили BitLocker, вам нужно будет приложить все усилия, чтобы включить с ним ПИН-код. Это требует изменения параметров групповой политики. Чтобы открыть редактор групповой политики, нажмите Windows + R, введите «gpedit.msc» в диалоговом окне «Выполнить» и нажмите Enter.
Перейдите в раздел Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы в окне групповой политики.
Дважды щелкните параметр «Требовать дополнительную аутентификацию при запуске» на правой панели.
Выберите «Включено» в верхней части окна здесь. Затем установите флажок «Настроить ПИН-код запуска TPM» и выберите «Требовать ПИН-код запуска с TPM». Нажмите «ОК», чтобы сохранить изменения.
Шаг третий: добавьте PIN-код к вашему диску
Теперь вы можете использовать команду manage-bde , чтобы добавить PIN-код на диск с шифрованием BitLocker.
Для этого запустите окно командной строки от имени администратора. В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (Admin)». В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».
Запустите следующую команду. Приведенная ниже команда работает на вашем диске C :, поэтому, если вам требуется ключ запуска для другого диска, введите его букву вместо c: .
manage-bde -protectors -add c: -TPMAndPIN
Вам будет предложено ввести свой PIN-код здесь. При следующей загрузке вас попросят ввести этот PIN-код.
Чтобы дважды проверить, был ли добавлен защитник TPMAndPIN, вы можете выполнить следующую команду:
manage-bde -status
(Защитная кнопка «Числовой пароль», отображаемая здесь, является вашим ключом восстановления.)
Как изменить свой PIN-код BitLocker
Чтобы изменить ПИН-код в будущем, откройте окно командной строки от имени администратора и выполните следующую команду:
manage-bde -changepin c:
Вам нужно будет ввести и подтвердить свой новый PIN-код, прежде чем продолжить.
Как удалить ПИН-код
Если вы передумали и хотите прекратить использование PIN-кода позже, вы можете отменить это изменение.
Во-первых, вам нужно перейти в окно групповой политики и изменить опцию обратно на «Разрешить стартовый ПИН с TPM». Вы не можете оставить параметр «Требовать ПИН-код запуска с TPM», иначе Windows не разрешит вам удалить ПИН-код.
Затем откройте окно командной строки от имени администратора и выполните следующую команду:
manage-bde -protectors -add c: -TPM
Это заменит требование «TPMandPIN» на требование «TPM», удалив PIN-код. Ваш диск BitLocker автоматически разблокируется через TPM вашего компьютера при загрузке.
Чтобы убедиться, что это выполнено успешно, снова введите команду status:
manage-bde -status c:
Если вы забудете ПИН-код, вам потребуется предоставить код восстановления BitLocker, который вы должны были сохранить в безопасном месте, когда вы включили BitLocker для своего системного диска.
