Ako povoliť pred spustením kód BitLocker v systéme Windows
Ak zašifrujete systémovú jednotku systému Windows pomocou nástroja BitLocker, môžete pridať kód PIN na ďalšie zabezpečenie. Po každom zapnutí počítača budete musieť skontrolovať kód PIN ešte pred spustením systému Windows. Toto je oddelené od prihlasovacieho kódu PIN, ktorý zadáte po spustení systému Windows.
Predbežný kód PIN zabraňuje tomu, aby sa šifrovací kľúč automaticky načítaval do systémovej pamäte počas zavádzacieho procesu, čo chráni pred útokmi s priamym prístupom k pamäti (DMA) na zariadeniach, ktoré sú s nimi vystavené. Dokumentácia spoločnosti Microsoft vysvetľuje túto skutočnosť podrobnejšie.
Prvý krok: Povoľte nástroj BitLocker (ak ste ho už neurobili)
Toto je funkcia BitLocker, takže musíte použiť šifrovanie BitLocker na nastavenie predbežného zavedenia kódu PIN. Toto je k dispozícii iba v profesionálnych a podnikových vydaniach systému Windows. Skôr ako môžete nastaviť kód PIN, musíte povoliť nástroj BitLocker pre systémovú jednotku.
Všimnite si, že ak vynecháte cestu k aktivácii nástroja BitLocker v počítači bez modulu TPM, zobrazí sa výzva na vytvorenie spúšťacieho hesla, ktoré sa použije namiesto modulu TPM. Nasledujúce kroky sú potrebné iba pri aktivácii nástroja BitLocker v počítačoch s modulmi TPM, ktoré majú najnovšie počítače.
Ak máte domácu verziu systému Windows, nebudete môcť používať nástroj BitLocker. Môžete mať funkciu Šifrovanie zariadenia namiesto toho, ale toto funguje odlišne od nástroja BitLocker a nedovoľuje vám poskytnúť spúšťací kľúč.
Druhý krok: Povolenie štartovacieho kódu PIN v Editora zásad skupiny
Po aktivácii funkcie BitLocker budete musieť odstrániť svoj spôsob, aby ste s ním povolili kód PIN. To vyžaduje zmenu nastavenia zásad skupiny. Ak chcete otvoriť editor Zásady skupiny, stlačte klávesy Windows + R, zadajte reťazec "gpedit.msc" do dialógového okna Spustiť a stlačte kláves Enter.
Konfigurácia počítača> Šablóny pre správu> Komponenty systému Windows> Šifrovanie jednotiek BitLocker> Jednotky operačného systému v okne Zásady skupiny.
Dvakrát kliknite na možnosť Požadovať dodatočné overenie pri spustení v pravom paneli.
V hornej časti okna vyberte možnosť "Enabled". Potom kliknite na políčko "Konfigurovať štartovací kód TPM" a vyberte možnosť "Vyžadovať štartovací kód PIN s TPM". Ak chcete zmeny uložiť, kliknite na tlačidlo "OK".
Tretí krok: Pridajte kód PIN na svoj disk
Teraz môžete použiť manage-BDE
príkaz pridať kód PIN do šifrovanej jednotky BitLocker.
Ak to chcete urobiť, spustite okno príkazového riadka ako správca. V systéme Windows 10 alebo 8 kliknite pravým tlačidlom myši na tlačidlo Štart a vyberte položku "Príkazový riadok (Admin)". V systéme Windows 7 nájdite skratku "Príkazový riadok" v ponuke Štart, kliknite naň pravým tlačidlom myši a zvoľte "Spustiť ako správca"
Spustite nasledujúci príkaz. Príkaz uvedený nižšie funguje na jednotke C: Ak chcete použiť inú jednotku na spustenie, zadajte jej písmeno jednotky namiesto c:
.
spravovať-bde -protektory -add c: -TPMAndPIN
Budete vyzvaný na zadanie kódu PIN tu. Pri ďalšom spustení systému budete vyzvaní na tento kód PIN.
Ak chcete skontrolovať, či bola pridaná ochrana TPMAndPIN, môžete spustiť nasledujúci príkaz:
manage-bde -status
(Tu sa zobrazuje kľúč na ochranu kľúčov "Numerické heslo".)
Ako zmeniť kód BitLocker
Ak chcete kód PIN v budúcnosti zmeniť, otvorte okno správcu príkazu ako správca a spustite nasledujúci príkaz:
spravovať-bde -changepin c:
Skôr než budete pokračovať, musíte nový kód PIN skontrolovať a potvrdiť.
Ako odstrániť požiadavku na kód PIN
Ak zmeníte názor a chcete PIN neskôr prestať používať, môžete túto zmenu vrátiť späť.
Najskôr budete musieť prejsť do okna Zásady skupiny a zmeniť možnosť späť na možnosť "Povoliť štartovací kód PIN s TPM". Nemôžete ponechať nastavenú možnosť na "Vyžadovať štartovací kód PIN s TPM" alebo systém Windows vám nedovolí odstránenie kódu PIN.
Následne otvorte okno Správca príkazu ako správca a spustite nasledujúci príkaz:
spravovať-bde -protectors -add c: -TPM
Tým sa nahradí požiadavka "TPMandPIN" požiadavkou "TPM", pričom sa vymaže kód PIN. Vaša jednotka BitLocker sa po zavádzaní automaticky odblokuje pomocou TPM počítača.
Ak chcete skontrolovať úspešné dokončenie, spustite znova stavový príkaz:
manage-bde -status c:
Ak PIN zabudnete, budete musieť poskytnúť kód obnovenia BitLocker, ktorý by ste mali uložiť niekde v bezpečí, keď ste povolili nástroj BitLocker pre systémovú jednotku.