Описание Как включить ПИН код BitLocker в Windows
Если вы зашифровали системный диск Windows с помощью BitLocker, вы можете добавить ПИН-код для дополнительной безопасности. Вам нужно будет вводить ПИН-код каждый раз, когда вы включаете компьютер, прежде чем запустится Windows, это отличный способ повысить безопасность своих данных.
Злоумышленник не получит данных с вашего диска, если не узнает пин код 🙂
Предзагрузочный ПИН-код предотвращает автоматическую загрузку ключа шифрования в системную память в процессе загрузки, что защищает от атак прямого доступа к памяти (DMA) на системы с уязвимым для них оборудованием.
Доверенный платформенный модуль = TPM
Решение Как включить ПИН код BitLocker в Windows
Включаем шифрование BitLocker
Это функция BitLocker, поэтому для установки предзагрузочного ПИН-кода необходимо сначала зашифровать системный диск с помощью BitLocker. Это доступно только в выпусках Windows Professional и Enterprise.
Обратите внимание, если вы включили BitLocker на компьютере без TPM, вам будет предложено создать пароль для запуска, который будет использоваться вместо TPM.
Следующие шаги необходимы только при включении BitLocker на компьютерах с доверенными платформенными модулями TPM, которые есть на большинстве современных компьютеров.
Чтобы проверить наличие TPM, нажмите Windows + R, введите «tpm.msc» в диалоговом окне «Выполнить» и нажмите Enter.
Если у вас домашняя версия / Home Windows, вы не сможете использовать BitLocker. Вместо этого у вас может быть функция шифрования устройства, но она работает иначе и не позволит вам настроить PIN код перед входом в ОС Windows.
Включаем ПИН код в Редакторе Групповых Политик
После того, как вы включили BitLocker, вы можете включить запрос ПИН-кода перед загрузкой Windows. Это требует изменения настроек групповой политики. Чтобы открыть редактор групповой политики, нажмите Windows + R, введите «gpedit.msc» в диалоговом окне «Выполнить» и нажмите Enter.
Перейдите в шпаргалку чтобы узнать другие, облегчающие жизнь, команды Windows
Перейдите в «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Шифрование диска BitLocker» > «Диски операционной системы» в окне групповой политики.
Дважды щелкните параметр «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске» на правой панели.
Выберите «Включено» в верхней части окна. Затем установите флажок «Настроить ПИН-код запуска TPM» и выберите параметр «Требовать ПИН-код запуска с доверенным платформенным модулем». Нажмите «ОК», чтобы сохранить изменения.
Задаем ПИН код BitLocker
Чтобы добавить ПИН-код на зашифрованный BitLocker диск используется команда manage-bde.
Для этого запустите окно командной строки или powershell от имени администратора.
В Windows 11 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Терминал Windows (Администратор)».
В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (администратор)».
В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».
Выполните следующую команду. Приведенная ниже команда работает на вашем системном диске C:, поэтому, если вы установить ПИН код для другого диска, введите его букву диска вместо c: .
manage-bde -protectors -добавить c: -TPMAndPIN
Здесь нужно будет ввести ваш ПИН код 2 раза. При следующей загрузке операционной системы вам будет предложено ввести этот BitLocker ПИН-код.
Чтобы убедиться, что ПИН код добавлен перед загрузкой Windows, вводим команду:
manage-bde -status
Если есть «Доверенный платформенный модуль и ПИН-код», значит всё сработало правильно и теперь перед загрузкой системы будет запрашиваться ПИН код. «Чиcловой пароль» здесь, это ключ восстановления / recovery key BitLocker.
Изменить ПИН код BitLocker
Чтобы изменить ПИН-код, откройте окно командной строки от имени администратора и выполните следующую команду:
manage-bde -changepin c:Нужно будет ввести ПИН код 2 раза.
Удалить ПИН код BitLocker
Если вы передумаете и захотите прекратить использование ПИН-кода, вы можете вернуть все обратно.
Нужно зайти в окно групповой политики и изменить параметр обратно на «Разрешить ПИН-код запуска с доверенным платформенным модулем».
Вы не можете оставить параметр «Требовать ПИН-код запуска с доверенным платформенным модулем», иначе Windows не позволит вам удалить PIN-код.
Затем откройте окно командной строки от имени администратора и выполните следующую команду:
manage-bde -protectors -add c: -TPM
Это заменит требование «TPMandPIN» требованием «TPM», удалив PIN-код. В дальнейшем, Ваш диск будет автоматически разблокирован с помощью TPM при каждой загрузке компьютера.
Чтобы убедиться, что ПИН код удален, запустим уже известную команду:
manage-bde -status c:
Как видите, «Доверенный платформенный модуль и ПИН-код» стало просто «Доверенный платформенный модуль», а значит ПИН код при загрузке Windows больше запрашиваться не будет.
Если вы забыли PIN-код, вам нужно будет предоставить ключ восстановления / recovery key BitLocker, который вы должны были сохранить в безопасном месте, когда включали BitLocker для системного диска.
Если Вам было полезно или есть вопросы, оставляйте комментарии, всем удачи 🙂
Подскажите, в виндовс 7 без TPM можно включить битлокер только с ключом запуска, а вариант с пин кодом не активен, можно как то включить, чтобы была возможность выбрать пин код для разблокировки, а не ключ запуска?