Jos salaat Windows-käyttöjärjestelmäsi BitLockerin avulla, voit lisätä PIN-koodin lisätietoturvaan. Sinun on annettava PIN-koodi aina, kun käynnistät tietokoneen, ennen kuin Windows käynnistyy. Tämä on erillinen kirjautumisnumerosta, jonka kirjoitat sen jälkeen, kun Windows käynnistyy.
Ennakkotilauksen PIN-koodi estää salausavaimen lataamisen automaattisesti järjestelmän muistissa käynnistysprosessin aikana, mikä suojaa DMA-iskuilta järjestelmiltä, joiden laitteisto on heikommassa asemassa. Microsoftin asiakirjat selittävät tämän tarkemmin.
Tämä on BitLocker-ominaisuus, joten sinun on käytettävä BitLocker-salausta asettaaksesi esiasennuksen PIN-koodin. Tämä on käytettävissä vain Windowsin Professional- ja Enterprise-versioissa. Ennen kuin voit määrittää PIN-koodin, sinun on otettava käyttöön BitLocker järjestelmäasemaan.
Huomaa, että jos poistut BitLockerin käytöstä tietokoneessa ilman TPM: tä, sinua pyydetään luomaan käynnistyssalasana, jota käytetään TPM: n sijaan. Alla olevat vaiheet ovat tarpeellisia vain, kun otat BitLockerin käyttöön tietokoneissa, joissa on nykyaikaisimpia tietokoneita.
Jos sinulla on Windows-kotiversio, et voi käyttää BitLockeria. Sinulla saattaa olla Device Encryption -ominaisuus, mutta tämä toimii eri tavoin kuin BitLocker ja se ei salli käynnistysavainta.
Kun olet ottanut BitLockerin käyttöön, sinun on poistettava PIN-koodi käyttöön sen kanssa. Tämä edellyttää ryhmäkäytäntöasetusten muuttamista. Avaa Group Policy Editor -ohjelma painamalla Windows + R, kirjoita Suorita-valintaikkunaan "gpedit.msc" ja paina Enter.
Tietokoneen kokoonpano> Hallintomallit> Windows-komponentit> BitLocker-aseman salaus> Käyttöjärjestelmä -asemat ryhmäkäytäntöikkunassa.
Kaksoisnapsauta oikeanpuoleisessa ruudussa olevaa "Vaadi lisävarmennusta käynnistysvaiheessa" -asetuksen.
Valitse "Päällä" ikkunan yläosassa. Napsauta sitten kohdassa "Määritä TPM-käynnistys PIN-koodi" -valintaruutu ja valitse "Vaadi käynnistys PIN-koodi TPM" -vaihtoehdon avulla. Tallenna muutokset klikkaamalla OK.
Voit nyt käyttää hallinnoida-BDE komento lisätä PIN-koodin BitLocker-salattuun asemaan.
Voit tehdä tämän käynnistämällä komentorivi-ikkunan järjestelmänvalvojana. Napsauta Windows 10: ssa tai 8: ssa hiiren kakkospainikkeella Käynnistä-painiketta ja valitse "Komentokehote (Admin)". Napsauta Windows 7 -käyttöjärjestelmässä Käynnistä-valikosta komentokehote-pikakuvaketta hiiren kakkospainikkeella ja valitse "Suorita järjestelmänvalvojana"
Suorita seuraava komento. Alla oleva komento toimii C: -aseman toimimalla, joten jos haluat pyytää käynnistysavaimen toiselle asemalle, syötä sen asemakirjain C: .
manage-bde -protectorit -add c: -TPMAndPIN
Sinua pyydetään kirjoittamaan PIN-koodi tähän. Kun seuraavan kerran käynnistät, sinulta kysytään PIN-koodi.
Jos haluat tarkistaa, onko TPMAndPIN-suojaaja lisätty, voit suorittaa seuraavan komennon:
manage-bde -status
(Tässä näkyvä "Numeerinen salasana" -näppäimen suojaus on palautusavaimesi.)
Jos haluat muuttaa PIN-koodia tulevaisuudessa, avaa komentokehoteikkuna järjestelmänvalvojana ja suorita seuraava komento:
manage-bde -vaihtopin c:
Sinun on kirjoitettava ja vahvistettava uusi PIN-tunnus ennen jatkamista.
Jos muutat mieltäsi ja haluat lopettaa PIN-koodin käytön myöhemmin, voit kumota tämän muutoksen.
Ensin sinun täytyy mennä ryhmäkäytäntöikkunaan ja vaihtaa vaihtoehto uudelleen "Salli käynnistys PIN-koodi TPM: llä". Et voi jättää asetusta "Vaadittava käynnistys PIN TPM: llä" tai Windows ei salli PIN-koodin poistamista.
Avaa sitten komentokehoteikkuna järjestelmänvalvojana ja suorita seuraava komento:
manage-bde -suojat - add c: -TPM
Tämä korvaa "TPMandPIN" -vaatimuksen "TPM" -vaatimuksella ja poistaa PIN-koodin. BitLocker-asema avautuu automaattisesti tietokoneen TPM: n kautta käynnistettäessäsi.
Voit tarkistaa, onko tämä onnistunut suorittamalla tilakomento uudelleen:
manage-bde -status c:
Jos unohdat PIN-koodin, sinun on annettava BitLocker-palautuskoodi, joka olisi pitänyt tallentaa jonnekin turvalliseksi, kun otit BitLockerin käyttöön järjestelmän asemaan.
