data: 20.08.2024

Artykuł źródłowy:
Jak włączyć kod PIN funkcji BitLocker przed uruchomieniem w systemie Windows? (howtogeek.com)

Jeśli szyfrujesz dysk systemowy Windows za pomocą funkcji BitLocker, możesz dodać kod PIN dla dodatkowego bezpieczeństwa. Kod PIN należy wprowadzać za każdym razem, gdy włączasz komputer, zanim jeszcze uruchomisz system Windows. Jest on niezależny od kodu PIN logowania, który należy wprowadzić po uruchomieniu systemu Windows.

 

Kod PIN przed uruchomieniem zapobiega automatycznemu załadowaniu klucza szyfrowania do pamięci systemowej podczas procesu rozruchu, co chroni przed atakami bezpośredniego dostępu do pamięci (DMA) na systemy, w których sprzęt jest podatny na ich ataki. Dokumentacja firmy Microsoft wyjaśnia to bardziej szczegółowo.

 

Krok pierwszy: Włącz funkcję BitLocker (jeśli jeszcze tego nie zrobiłeś)

 

img_5786ae1550c80

 

Jest to funkcja funkcji BitLocker, więc musisz użyć szyfrowania BitLocker, aby ustawić kod PIN przed rozruchem. Ta funkcja jest dostępna tylko w wersjach Professional i Enterprise systemu Windows. Aby można było ustawić kod PIN, należy włączyć funkcję BitLocker na dysku systemowym.

Należy pamiętać, że jeśli zrobisz wszystko, co w Twojej mocy, aby włączyć funkcję BitLocker na komputerze bez modułu TPM, zostanie wyświetlony monit o utworzenie hasła uruchamiania, które będzie używane zamiast modułu TPM. Poniższe kroki są konieczne tylko w przypadku włączania funkcji BitLocker na komputerach z modułami TPM, które są wyposażone w większość nowoczesnych komputerów.

Jeśli masz domową wersję systemu Windows, nie będziesz mógł korzystać z funkcji BitLocker. Zamiast tego możesz mieć funkcję szyfrowania urządzenia, ale działa ona inaczej niż funkcja BitLocker i nie pozwala na podanie klucza uruchomienia.

 

Krok drugi: Włącz kod PIN uruchamiania w Edytorze zasad grupy

Po włączeniu funkcji BitLocker możemy zabrać się za kod PIN. Wymaga to zmiany ustawień zasad grupy.
Aby otworzyć Edytor zasad grupy, naciśnij Windows + R, wpisz "gpedit.msc" w oknie dialogowym Uruchom i naciśnij Enter.

Przejdź do Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków funkcją BitLocker > Dyski systemu operacyjnego.

Kliknij dwukrotnie opcję "Wymagaj dodatkowego uwierzytelniania podczas uruchamiania" w prawym okienku.

 

img_5786abcd0a826

 

Wybierz "Włączone" w górnej części okna tutaj. Następnie kliknij pole "Konfiguruj kod PIN uruchamiania modułu TPM" i wybierz opcję "Wymagaj kodu PIN uruchamiania z modułem TPM". Kliknij "OK", aby zapisać zmiany.

 

img_5786abfab6c70

 

Krok trzeci: Dodaj kod PIN do swojego dysku

Aby dodać kod PIN do dysku zaszyfrowanego funkcją BitLocker należy użyć polecenia manage-bde

Żeby to zrobić, uruchom okno wiersza polecenia jako administrator. W systemie Windows 10 lub 8 kliknij prawym przyciskiem myszy przycisk Start i wybierz "Wiersz polecenia (administrator)". W systemie Windows 7 znajdź skrót "Wiersz polecenia" w menu Start, kliknij go prawym przyciskiem myszy i wybierz "Uruchom jako administrator"

Poniższe polecenie działa na dysku C:, więc jeśli chcesz wymagać klucza uruchomienia dla innego dysku, wprowadź jego literę dysku zamiast c:

Uruchom następujące polecenie.

manage-bde -protectors -add c: -TPMAndPIN

W tym miejscu pojawi się monit o wprowadzenie kodu PIN. Przy następnym uruchomieniu zostaniesz poproszony o podanie tego kodu PIN.

Jeśli zostanie wyświetlony błąd, uruchom polecenie w osobnym wierszu przed uruchomieniem polecenia pokazanego powyżej. Spowoduje to wymuszenie na systemie Windows zastosowania zmian zasad grupy. gpupdatemanage-bde

 

img_5786adbd62a1e

 

Aby dokładnie sprawdzić, czy dodano ochronę TPMAndPIN, możesz uruchomić następujące polecenie:

 

manage-bde -status

(Wyświetlany tutaj program zabezpieczający klucz "Hasło numeryczne" to klucz odzyskiwania).

img_5786ad56af029

 

Jak zmienić kod PIN funkcji BitLocker

Aby zmienić kod PIN w przyszłości, otwórz okno wiersza polecenia jako administrator i uruchom następujące polecenie:

 

manage-bde -changepin c:

Zanim przejdziesz dalej, musisz wpisać i potwierdzić nowy kod PIN.

 

img_5786acbf9be9e

 

Jak usunąć wymóg dotyczący kodu PIN

Jeśli zmienisz zdanie i zechcesz później przestać używać kodu PIN, możesz cofnąć tę zmianę.

Najpierw musisz przejść do okna Zasady grupy i zmienić opcję z powrotem na "Zezwalaj na kod PIN uruchamiania z modułem TPM". Nie możesz pozostawić opcji ustawionej na "Wymagaj kodu PIN uruchamiania z modułem TPM" lub system Windows nie pozwoli na usunięcie kodu PIN.

 

img_5786ac7d15d8f

Następnie otwórz okno wiersza polecenia jako administrator i uruchom następujące polecenie:

 

manage-bde -protectors -add c: -TPM

Spowoduje to zastąpienie wymagania "TPMandPIN" wymaganiem "TPM" i usunięciem kodu PIN. Dysk funkcji BitLocker zostanie automatycznie odblokowany przez moduł TPM komputera po uruchomieniu.

 

img_5786adf00033d

Aby sprawdzić, czy to się udało, uruchom ponownie polecenie status:

 

manage-bde -status c:
img_5786acf4c2515

 

Jeśli zapomnisz kodu PIN, musisz podać kod odzyskiwania funkcji BitLocker, który powinien był zostać zapisany w bezpiecznym miejscu po włączeniu funkcji BitLocker na dysku systemowym.