Så här aktiverar du en Pre-Boot BitLocker-PIN på Windows
Om du krypterar din Windows-systemdrivenhet med BitLocker kan du lägga till en PIN-kod för ytterligare säkerhet. Du måste ange PIN-koden varje gång du slår på datorn, innan Windows ens börjar. Detta är skilt från en inloggnings-PIN, som du anger efter Windows stövlar upp.
En PIN-kod före start förhindrar att krypteringsnyckeln automatiskt laddas i systemminnet under startprocessen, vilket skyddar mot DMA-attacker på system med hårdvara som är utsatta för dem. Microsofts dokumentation förklarar detta mer i detalj.
Steg ett: Aktivera BitLocker (om du inte redan har det)
Det här är en BitLocker-funktion, så du måste använda BitLocker-kryptering för att ställa in en pre-boot-kod. Detta är endast tillgängligt på Professional och Enterprise-utgåvor av Windows. Innan du kan ställa in en PIN-kod måste du aktivera BitLocker för din systemdrivenhet.
Observera att om du går ur vägen för att aktivera BitLocker på en dator utan en TPM, blir du uppmanad att skapa ett startlösenord som används istället för TPM. Nedanstående steg är bara nödvändiga när du aktiverar BitLocker på datorer med TPM, vilka modernaste datorer har.
Om du har en hemversion av Windows kan du inte använda BitLocker. Du kan ha funktionen Enhetskryptering i stället, men det fungerar annorlunda än BitLocker och tillåter dig inte att ge en startnyckel.
Steg två: Aktivera start-PIN-koden i grupprincipredigeraren
När du har aktiverat BitLocker måste du gå ur vägen för att aktivera en PIN-kod med den. Detta kräver att en grupppolicyinställningar ändras. För att öppna grupprincipredigeraren trycker du på Windows + R, skriver "gpedit.msc" i dialogrutan Kör och trycker på Enter.
Gå till datorkonfiguration> Administrativa mallar> Windows-komponenter> BitLocker-enhetskryptering> Operativsystemdrifter i fönstret Grupprincip.
Dubbelklicka på alternativet "Kräv ytterligare autentisering vid uppstart" i den högra rutan.
Välj "Enabled" högst upp i fönstret här. Klicka sedan på rutan under "Configure TPM Startup PIN" och välj "Kräv Start PIN med TPM". Klicka på "OK" för att spara dina ändringar.
Steg tre: Lägg till en PIN-kod på din enhet
Du kan nu använda manage-bde
kommandot att lägga till PIN-koden i din BitLocker-krypterade enhet.
För att göra detta, starta ett kommandotolfönster som administratör. Högerklicka på Start-knappen i Windows 10 eller 8 och välj "Kommandotolk (Admin)". I Windows 7 hittar du genvägskommandot "Kommandotolk" i Start-menyn, högerklickar på den och väljer "Kör som administratör"
Kör följande kommando. Kommandot nedan fungerar på din C: -drev, så om du vill kräva en startnyckel för en annan enhet, skriv dess skrivbrev istället för c:
.
manage-bde-protektorer -add c: -TPMAndPIN
Du uppmanas att ange din PIN-kod här. Nästa gång du startar, kommer du att bli ombedd för denna PIN-kod.
För att dubbelkontrollera om TPMAndPIN-skyddet har lagts till kan du köra följande kommando:
manage-bde-status
(Verktyget "Numeriskt lösenord" som visas här är din återställningsnyckel.)
Så här ändrar du din BitLocker-PIN
För att ändra PIN-koden i framtiden öppnar du ett kommandotolfönster som administratör och kör följande kommando:
hantera-bde -changepin c:
Du måste skriva och bekräfta din nya PIN-kod innan du fortsätter.
Så här tar du bort PIN-koden
Om du ändrar dig och vill sluta använda PIN-koden senare kan du ångra den här ändringen.
Först måste du gå till fältet Grupprincip och ändra alternativet till "Tillåt start PIN med TPM". Du kan inte lämna alternativet som är inställt på "Kräv start PIN med TPM" eller Windows tillåter inte att du tar bort PIN-koden.
Öppna sedan ett kommandotolfönster som administratör och kör följande kommando:
hantera-bde-protektorer -add c: -TPM
Detta kommer att ersätta kravet "TPMandPIN" med ett "TPM" -krav, att ta bort PIN-koden. Din BitLocker-enhet låses automatiskt upp via datorns TPM när du startar.
För att kontrollera att detta är klart, kör statuskommandot igen:
manage-bde-status c:
Om du glömmer PIN-koden måste du tillhandahålla BitLocker-återställningskoden som du skulle ha sparat någonstans säker när du aktiverade BitLocker för din systemdrivenhet.