Slik aktiverer du en pre-Boot BitLocker-PIN på Windows
Hvis du krypterer Windows-systemstasjonen med BitLocker, kan du legge til en PIN-kode for ekstra sikkerhet. Du må taste inn PIN-koden hver gang du slår på PCen, før Windows starter. Dette er skilt fra en påloggings-PIN, som du skriver inn etter at Windows støvler opp.
En PIN-kode for oppstart forhindrer krypteringsnøkkelen fra å bli lastet automatisk inn i systemminnet under oppstartsprosessen, som beskytter mot DMA-angrep på systemer med maskinvare som er sårbare for dem. Microsofts dokumentasjon forklarer dette mer detaljert.
Trinn ett: Aktiver BitLocker (Hvis du ikke allerede har det)
Dette er en BitLocker-funksjon, så du må bruke BitLocker-kryptering for å angi en pre-boot-kode. Dette er bare tilgjengelig på profesjonelle og Enterprise-utgaver av Windows. Før du kan angi en PIN-kode, må du aktivere BitLocker for systemstasjonen.
Merk at hvis du går ut av veien for å aktivere BitLocker på en datamaskin uten en TPM, blir du bedt om å opprette et oppstartspassord som brukes i stedet for TPM. Nedenfor trinnene er bare nødvendige når du aktiverer BitLocker på datamaskiner med TPM, som de nyeste datamaskiner har.
Hvis du har en hjemmeversjon av Windows, vil du ikke kunne bruke BitLocker. Du kan ha funksjonen Enhetskryptering i stedet, men dette fungerer annerledes enn BitLocker, og lar deg ikke gi en oppstartsnøkkel.
Trinn to: Aktiver start-PIN-koden i gruppepolicyredigerer
Når du har aktivert BitLocker, må du gå ut av veien for å aktivere en PIN-kode med den. Dette krever endring av gruppepolicyinnstillinger. For å åpne Group Policy Editor, trykk Windows + R, skriv "gpedit.msc" i dialogboksen Kjør, og trykk Enter.
Gå til Computer Configuration> Administrative Maler> Windows-komponenter> BitLocker-stasjonskryptering> Operativsystemdrivere i vinduet Gruppepolicy.
Dobbeltklikk på "Krev ytterligere godkjenning ved oppstart" -alternativ i høyre rute.
Velg "Aktivert" øverst i vinduet her. Deretter klikker du på boksen under "Konfigurer TPM-oppstarts-PIN" og velg "Krev oppstarts-PIN med TPM" -alternativet. Klikk på "OK" for å lagre endringene dine.
Trinn tre: Legg til en PIN-kode på stasjonen din
Du kan nå bruke administrere-BDE
beordre å legge til PIN-koden til din BitLocker-krypterte stasjon.
For å gjøre dette, start et kommandopromptvindu som administrator. I Windows 10 eller 8 høyreklikker du Start-knappen og velger "Kommandoprompt (Admin)". I Windows 7 finner du snarveien "Kommandoprompt" i Start-menyen, høyreklikker den og velger "Kjør som administrator"
Kjør følgende kommando. Kommandoen nedenfor fungerer på C-stasjonen din, så hvis du vil kreve en oppstartingsnøkkel for en annen stasjon, skriv inn stasjonsbokstaven i stedet for c:
.
administrere-bde-protektorer -tilføy c: -TPMAndPIN
Du blir bedt om å oppgi PIN-koden din her. Neste gang du starter, blir du bedt om denne PIN-koden.
For å dobbeltsjekke om TPMAndPIN-beskyttelsen ble lagt til, kan du kjøre følgende kommando:
manage-bde-status
(Tastaturbeskyttelsen "Numerisk passord" som vises her er gjenopprettingsnøkkelen.)
Slik endrer du BitLocker-PIN-koden
Hvis du vil endre PIN-koden i fremtiden, åpner du et kommandopromptvindu som administrator og kjører følgende kommando:
administrere-bde -changepin c:
Du må skrive og bekrefte din nye PIN-kode før du fortsetter.
Slik fjerner du PIN-krevet
Hvis du tenker på deg og vil slutte å bruke PIN-koden senere, kan du angre denne endringen.
Først må du gå til Gruppepolicy-vinduet og endre alternativet tilbake til "Tillat oppstarts-PIN med TPM". Du kan ikke la alternativet være satt til "Krev oppstarts-PIN med TPM", eller Windows vil ikke tillate deg å fjerne PIN-koden.
Deretter åpner du et kommandopromptvindu som administrator og kjører følgende kommando:
administrere-bde-protektorer -tilføy c: -TPM
Dette vil erstatte "TPMandPIN" kravet med et "TPM" krav, sletting av PIN-koden. Din BitLocker-stasjon vil automatisk låse opp via datamaskinens TPM når du starter opp.
For å kontrollere at dette er fullført, kjør du statuskommandoen igjen:
manage-bde-status c:
Hvis du glemmer PIN-koden, må du oppgi BitLocker-gjenopprettingskoden du burde ha lagret et sted trygt når du aktiverte BitLocker for systemstasjonen.