Predbežný kód PIN zabraňuje tomu, aby sa šifrovací kľúč automaticky načítaval do systémovej pamäte počas spúšťacej operácie, čo chráni pred útokmi s priamym prístupom k pamäti (DMA) na systémoch s hardvérom, ktorý je zraniteľný. Dokumentácia spoločnosti Microsoft vysvetľuje túto skutočnosť podrobnejšie.
Prvý krok: Povoľte nástroj BitLocker (ak ste ho už neurobili)
Všimnite si, že ak vyjdete z cesty, aby ste povolili nástroj BitLocker v počítači bez modulu TPM, zobrazí sa výzva na vytvorenie spúšťacieho hesla, ktoré sa použije namiesto modulu TPM. Nasledujúce kroky sú potrebné iba pri aktivácii nástroja BitLocker v počítačoch s modulmi TPM, ktoré majú najnovšie počítače.
Ak máte domácu verziu systému Windows, nebudete môcť používať nástroj BitLocker. Možno budete mať funkciu Šifrovanie zariadenia, ale funguje to inak ako nástroj BitLocker a nedovoľuje vám poskytnúť spúšťací kľúč.
Druhý krok: Povolenie štartovacieho kódu PIN v Editora zásad skupiny
Po aktivácii nástroja BitLocker budete musieť prejsť z cesty, aby ste s ním povolili kód PIN. Vyžaduje to zmenu nastavení Zásady skupiny. Ak chcete otvoriť editor Zásady skupiny, stlačte klávesy Windows + R, do dialógového okna Spustiť zadajte reťazec "gpedit.msc" a stlačte kláves Enter.
Konfigurácia počítača> Šablóny na správu> Komponenty systému Windows> Šifrovanie jednotiek BitLocker> Jednotky operačného systému v okne Zásady skupiny.
Dvakrát kliknite na možnosť "Vyžadovať dodatočné overenie pri štarte" v pravej časti okna.
V hornej časti okna vyberte možnosť "Enabled". Potom kliknite na políčko "Konfigurovať štartovací kód TPM" a vyberte možnosť "Vyžadovať štartovací kód PIN s TPM". Ak chcete zmeny uložiť, kliknite na tlačidlo "OK".
Tretí krok: Pridajte kód PIN na svoj disk
Teraz môžete použiť
manage-bde
príkaz pridať kód PIN do šifrovanej jednotky BitLocker.
Za týmto účelom spustite okno príkazového riadka ako správca. V systéme Windows 10 alebo 8 kliknite pravým tlačidlom myši na tlačidlo Štart a vyberte položku "Príkazový riadok (Admin)". V systéme Windows 7 nájdite skratku "Príkazový riadok" v ponuke Štart, kliknite naň pravým tlačidlom myši a zvoľte "Spustiť ako správca"
Spustite nasledujúci príkaz. Príkaz uvedený nižšie funguje na jednotke C: Ak chcete požadovať spúšťací kľúč pre iný disk, zadajte jeho písmeno jednotky namiesto
c:
manage-bde -protectors -add c: -TPMAndPIN
Budete vyzvaný na zadanie kódu PIN tu. Pri ďalšom zavádzaní budete vyzvaní na tento kód PIN.
manage-bde -status
(Tu nájdete kľúč na ochranu kľúčov "Numerické heslo".)
Ako zmeniť kód BitLocker
Ak chcete kód PIN v budúcnosti zmeniť, otvorte okno správcu príkazu ako správca a spustite nasledujúci príkaz:
manage-bde -changepin c:
Skôr než budete pokračovať, musíte nový kód PIN skontrolovať a potvrdiť.
Ako odstrániť požiadavku na kód PIN
Ak zmeníte názor a chcete PIN neskôr prestať používať, môžete túto zmenu vrátiť späť.
Najprv musíte prejsť na okno Zásady skupiny a zmeniť možnosť späť na možnosť Povoliť štartovací kód PIN s TPM. Nemôžete ponechať nastavenú možnosť "Vyžadovať štartovací kód PIN s TPM" alebo systém Windows vám nedovolí odstrániť kód PIN.
manage-bde -protectors -add c: -TPM
Tým sa nahradí požiadavka "TPMandPIN" požiadavkou "TPM", pričom sa vymaže kód PIN. Vaša jednotka BitLocker sa po zavádzaní automaticky odblokuje pomocou TPM počítača.
manage-bde -status c:
Ak zabudnete kód PIN, budete musieť poskytnúť kód obnovenia BitLocker, ktorý by ste mali uložiť niekde v bezpečí, keď ste povolili nástroj BitLocker pre systémovú jednotku.
