Kako omogočiti PIN pred zagonom BitLocker v operacijskem sistemu Windows
Če sistemski pogon Windows šifrirate z BitLockerjem, lahko dodate dodatno kodo PIN za dodatno varnost. PIN boste morali vnesti vsakič, ko vklopite računalnik, preden se Windows zažene. To je ločeno od PIN-a za prijavo, ki ga vnesete po zagonu sistema Windows.
Koda PIN pred zagonom preprečuje, da bi se ključ za šifriranje samodejno naložil v sistemski pomnilnik med postopkom zagona, kar ščiti pred napadi neposrednega dostopa do pomnilnika (DMA) na sisteme, katerih strojna oprema je ranljiva. Microsoftova dokumentacija to podrobneje pojasnjuje.
Prvi korak: omogočite BitLocker (če še niste)
To je funkcija BitLocker, zato morate za nastavitev PIN-a pred zagonom uporabiti šifriranje BitLocker. To je na voljo samo v izdajah Windows Professional in Professional. Preden lahko nastavite PIN, morate omogočiti BitLocker za sistemski pogon.
Upoštevajte, da boste, če se izogibate omogočanju BitLockerja v računalniku brez TPM-ja, morali ustvariti geslo za zagon, ki se uporablja namesto TPM. Spodnji koraki so potrebni samo, če omogočite BitLocker v računalnikih s TPM, ki jih ima večina sodobnih računalnikov.
Če imate domačo različico sistema Windows, ne boste mogli uporabljati BitLocker. Namesto tega lahko uporabljate funkcijo šifriranja naprav, vendar to deluje drugače kot BitLocker in vam ne omogoča zagonskega ključa.
Drugi korak: Omogočite PIN za zagon v urejevalniku pravilnika skupine
Ko omogočite BitLocker, se boste morali izogniti, da boste s tem omogočili PIN. To zahteva spremembo nastavitev pravilnika skupine. Če želite odpreti urejevalnik pravilnika skupine, pritisnite Windows + R, v pogovorno okno Zaženi vnesite »gpedit.msc« in pritisnite Enter.
Pojdi na konfiguracijo računalnika> Skrbniške predloge> Komponente Windows> Šifriranje pogona BitLocker> Pogoni operacijskih sistemov v oknu pravilnika skupine.
V desnem podoknu dvokliknite možnost »Zahtevaj dodatno overjanje ob zagonu«.
Na vrhu okna izberite »Omogočeno«. Nato kliknite polje v razdelku »Konfiguriraj zagonsko kodo TPM« in izberite možnost »Zahtevaj PIN za zagon s TPM«. Kliknite »V redu«, da shranite spremembe.
Tretji korak: Dodajte PIN v svoj disk
Zdaj lahko uporabite manage-bde
ukaz za dodajanje kode PIN v pogon, ki ga šifrira BitLocker.
To naredite tako, da zaženete okno ukaznega poziva kot skrbnik. V operacijskem sistemu Windows 10 ali 8 z desno tipko miške kliknite gumb Start in izberite »Ukazni poziv (Admin)«. V sistemu Windows 7 poiščite bližnjico »Ukazni poziv« v meniju »Start«, jo kliknite z desno tipko miške in izberite »Zaženi kot skrbnik«
Zaženite naslednji ukaz. Spodnji ukaz deluje na pogonu C: če želite zahtevati zagonski ključ za drug pogon, vnesite njegovo črko pogona. c:
.
manage-bde -protectors -add c: -TPMAndPIN
Tukaj boste morali vnesti kodo PIN. Ko boste naslednjič zagnali, boste morali vnesti to kodo PIN.
Če želite še enkrat preveriti, ali je bila dodana zaščita TPMAndPIN, lahko zaženete naslednji ukaz:
upravljanje-bde -status
(Tukaj je prikazana zaščita ključa »Številčno geslo« je vaš ključ za obnovitev.)
Kako spremeniti kodo PIN za BitLocker
Če želite v prihodnje spremeniti PIN, odprite okno ukaznega poziva kot skrbnik in zaženite ta ukaz:
manage-bde -changepin c:
Preden nadaljujete, morate vnesti in potrditi novo kodo PIN.
Kako odstraniti zahtevo za PIN
Če si premislite in želite pozneje prenehati uporabljati PIN, lahko to spremembo razveljavite.
Najprej se morate vrniti v okno pravilnika skupine in spremeniti možnost nazaj na »Dovoli zagonsko kodo s TPM«. Možnost, ki je nastavljena na »Zahtevaj PIN za zagon s tehnologijo TPM«, ne morete pustiti ali pa Windows ne dovoljuje odstranitve kode PIN.
Nato odprite okno ukaznega poziva kot skrbnik in zaženite naslednji ukaz:
manage-bde -protectors -add c: -TPM
To bo zahtevo za "TPMandPIN" nadomestilo z zahtevo "TPM", pri čemer bo izbrisana koda PIN. Vaš pogon BitLocker se bo samodejno odklenil prek TPM računalnika, ko boste zagnali računalnik.
Če želite preveriti, ali se je to uspešno zaključilo, znova zaženite ukaz za stanje:
upravljanje-bde -statistika c:
Če pozabite kodo PIN, morate vnesti kodo za obnovitev BitLockerja, ki bi jo morali shraniti na varnem mestu, ko ste omogočili BitLocker za sistemski pogon.