Bagaimana untuk Membolehkan PIN BitLocker Pra-Boot pada Windows
Jika anda menyulitkan pemacu sistem Windows anda dengan BitLocker, anda boleh menambah PIN untuk keselamatan tambahan. Anda perlu memasukkan PIN setiap kali anda menghidupkan PC anda, sebelum Windows akan bermula. Ini berasingan daripada PIN log masuk, yang anda masukkan selepas menaikkan Windows.
PIN pra-boot menghalang kunci penyulitan secara automatik dimuatkan ke dalam memori sistem semasa proses boot, yang melindungi daripada serangan akses langsung (DMA) serangan ke atas sistem dengan hardware yang terdedah kepada mereka. Dokumentasi Microsoft menerangkan perkara ini secara terperinci.
Langkah Pertama: Aktifkan BitLocker (Jika Anda Belum Sudah)
Ini adalah ciri BitLocker, jadi anda perlu menggunakan penyulitan BitLocker untuk menetapkan PIN pra-boot. Ini hanya boleh didapati di edisi Profesional dan Enterprise Windows. Sebelum anda dapat menetapkan PIN, anda perlu mengaktifkan BitLocker untuk pemacu sistem anda.
Ambil perhatian bahawa, jika anda keluar dari cara anda untuk membolehkan BitLocker pada komputer tanpa TPM, anda akan diminta untuk membuat kata laluan permulaan yang digunakan dan bukannya TPM. Langkah-langkah di bawah hanya perlu apabila membolehkan BitLocker pada komputer dengan TPM, yang mana komputer paling moden.
Sekiranya anda mempunyai Windows versi Utama, anda tidak akan dapat menggunakan BitLocker. Anda mungkin mempunyai ciri Penyulitan Peranti sebaliknya, tetapi ini berfungsi dengan berbeza dari BitLocker dan tidak membenarkan anda memberikan kunci permulaan.
Langkah Dua: Dayakan PIN Permulaan dalam Editor Dasar Kumpulan
Sebaik sahaja anda mendayakan BitLocker, anda perlu keluar dari cara anda untuk mengaktifkan PIN dengannya. Ini memerlukan tetapan Dasar Kumpulan berubah. Untuk membuka Editor Dasar Kumpulan, tekan Windows + R, ketik "gpedit.msc" ke dalam dialog Run, dan tekan Enter.
Kepala untuk Konfigurasi Komputer> Templat Pentadbiran> Komponen Windows> Penyulitan Pemacu BitLocker> Pemacu Sistem Operasi dalam tetingkap Dasar Kumpulan.
Klik dua kali "Pilihan Pengesahan Tambahan di Permulaan" pilihan di anak tetingkap kanan.
Pilih "Diaktifkan" di bahagian atas tetingkap di sini. Kemudian, klik kotak di bawah "Konfigurasikan PIN Permulaan TPM" dan pilih pilihan "Memerlukan PIN Permulaan Dengan TPM". Klik "OK" untuk menyimpan perubahan anda.
Langkah Tiga: Tambah PIN ke Drive Anda
Anda kini boleh menggunakan manage-bde
arahan untuk menambah PIN ke pemacu yang dienkripsi BitLocker anda.
Untuk melakukan ini, melancarkan tetingkap Prompt Perintah sebagai Pentadbir. Pada Windows 10 atau 8, klik kanan butang Mula dan pilih "Prompt Perintah (Admin)". Pada Windows 7, cari jalan pintas "Prompt Perintah" dalam menu Start, klik kanan, dan pilih "Run as Administrator"
Jalankan arahan berikut. Perintah di bawah berfungsi pada C: drive anda, jadi jika anda ingin memerlukan kunci permulaan untuk drive lain, masukkan huruf pemacunya dan bukannya c:
.
menguruskan-bde -protectors -add c: -TPMAndPIN
Anda akan digesa untuk memasukkan PIN anda di sini. Apabila anda boot pada masa akan datang, anda akan diminta untuk PIN ini.
Untuk menyemak semula sama ada pelindung TPMAndPIN telah ditambahkan, anda boleh menjalankan arahan berikut:
menguruskan-bde-status
(Pelindung utama "Kata Laluan Numerik" dipaparkan di sini ialah kunci pemulihan anda.)
Bagaimana Tukar PIN BitLocker anda
Untuk menukar PIN pada masa hadapan, buka tetingkap Prompt Perintah sebagai Pentadbir dan jalankan arahan berikut:
manage-bde -changepin c:
Anda perlu menaip dan mengesahkan PIN baru anda sebelum meneruskan.
Cara Keluarkan Keperluan PIN
Sekiranya anda menukar fikiran dan mahu berhenti menggunakan PIN kemudian, anda boleh membatalkan perubahan ini.
Pertama, anda perlu menuju ke tetingkap Dasar Kumpulan dan menukar pilihan kembali ke "Benarkan PIN Permulaan Dengan TPM". Anda tidak boleh meninggalkan pilihan yang ditetapkan untuk "Memerlukan PIN Permulaan Dengan TPM" atau Windows tidak akan membenarkan anda mengeluarkan PIN.
Seterusnya, buka tetingkap Prompt Perintah sebagai Pentadbir dan jalankan arahan berikut:
manage-bde -protectors -add c: -TPM
Ini akan menggantikan keperluan "TPMandPIN" dengan keperluan "TPM", memotong PIN. Pemacu BitLocker anda akan dibuka secara automatik melalui TPM komputer anda apabila anda boot.
Untuk memastikan bahawa ini berjaya diselesaikan, jalankan perintah status sekali lagi:
menguruskan-bde -status c:
Jika anda terlupa PIN, anda perlu menyediakan kod pemulihan BitLocker yang sepatutnya disimpan di tempat yang selamat apabila anda mendayakan BitLocker untuk pemacu sistem anda.