ПИН кодът за предварително зареждане предотвратява автоматично зареждането на ключ за шифроване в системната памет по време на процеса на зареждане, което предпазва атаките от директен достъп до паметта (DMA) на системи с хардуер, уязвими към тях. Документацията на Microsoft обяснява това по-подробно.
Първа стъпка: Активирайте BitLocker (ако не сте вече)
Имайте предвид, че ако излезете от пътя си, за да активирате BitLocker на компютър без TPM, ще бъдете подканени да създадете стартова парола, която да се използва вместо TPM. Следващите стъпки са необходими само при активиране на BitLocker на компютри с TPM, които имат най-модерните компютри.
Ако имате начална версия на Windows, няма да можете да използвате BitLocker. Вместо това може да имате функцията Шифроване на устройството, но това работи по различен начин от BitLocker и не ви позволява да предоставите стартов ключ.
Стъпка втора: Активирайте стартовия ПИН в редактора на групови правила
След като активирате BitLocker, ще трябва да излезете от пътя си, за да активирате ПИН с него. Това изисква промяна в настройките на груповите правила. За да отворите редактора за групови правила, натиснете Windows + R, въведете "gpedit.msc" в диалоговия прозорец Изпълнение и натиснете Enter.
Насочете към Компютърна конфигурация> Административни шаблони> Компоненти на Windows> Шифроване на устройство BitLocker> Драйверите на операционната система в прозореца за групови правила.
Кликнете два пъти върху опцията "Необходима допълнителна удостоверяване при стартиране" в десния панел.
Стъпка трета: Добавете ПИН към диска си
Сега можете да използвате
manage-bde
команда за добавяне на ПИН към кодираното от BitLocker устройство.
За да направите това, стартирайте прозореца на командния прозорец като администратор. В Windows 10 или 8 щракнете с десния бутон на мишката върху бутона "Старт" и изберете "Command Prompt (Admin)". В Windows 7 намерете командата "Command Prompt" в менюто "Старт", щракнете с десния бутон върху него и изберете "Пусни като администратор"
Изпълнете следната команда. Командата по-долу работи на вашето C: устройство, така че ако искате да изисквате стартов ключ за друго устройство, въведете буквата на устройството вместо
c:
manage-bde -protectors -add c: -TPMAndPIN
Ще бъдете подканени да въведете своя ПИН тук. Следващия път, когато стартирате, ще бъдете помолени за този ПИН код.
manage-bde -status
(Показаният тук защитен ключ за цифровата парола е вашият ключ за възстановяване.)
Как да промените своя PIN на BitLocker
За да промените ПИН кода в бъдеще, отворете прозореца на командния прозорец като администратор и изпълнете следната команда:
manage-bde -changepin c:
Ще трябва да въведете и потвърдите новия си ПИН, преди да продължите.
Как да премахнете изискването за ПИН код
Ако промените решението си и искате да прекратите използването на ПИН по-късно, можете да отмените тази промяна.
Първо, трябва да се насочите към прозореца за групови правила и да промените опцията обратно на "Да се разреши стартов ПИН с TPM". Не можете да оставите опцията, зададена в "Изискване за стартиране на ПИН с TPM" или Windows няма да ви позволи да премахнете ПИН кода.
manage-bde -protectors -add c: -TPM
Това ще замени изискването "TPMandPIN" с изискване "TPM", като изтриете ПИН кода. Вашето устройство BitLocker ще се отключи автоматично чрез TPM на компютъра, когато заредите.
За да проверите дали това е завършено успешно, стартирайте отново командата за състоянието:
manage-bde -status c:
Ако забравите ПИН кода, ще трябва да предоставите кода за възстановяване на BitLocker, който сте запазили някъде безопасно, когато сте активирали BitLocker за системното си устройство.
