วิธีการเปิดใช้งาน PIN ของ BitLocker ก่อนการบูตบน Windows

หากคุณเข้ารหัสไดรฟ์ระบบ Windows ด้วย BitLocker คุณสามารถเพิ่ม PIN เพื่อความปลอดภัยเพิ่มเติม คุณจะต้องป้อน PIN ทุกครั้งที่เปิดเครื่องพีซีก่อนที่ Windows จะเริ่มทำงาน สิ่งนี้แยกจาก PIN การเข้าสู่ระบบซึ่งคุณป้อนหลังจาก Windows บูตขึ้น.

PIN ก่อนบูตจะป้องกันไม่ให้คีย์เข้ารหัสนั้นถูกโหลดเข้าสู่หน่วยความจำระบบโดยอัตโนมัติในระหว่างกระบวนการบู๊ตซึ่งป้องกันการโจมตีโดยตรงจากการเข้าถึงหน่วยความจำ (DMA) บนระบบที่มีฮาร์ดแวร์ที่มีช่องโหว่ เอกสารของ Microsoft อธิบายรายละเอียดเพิ่มเติมนี้.

ขั้นตอนที่หนึ่ง: เปิดใช้งาน BitLocker (ถ้าคุณยังไม่ได้ทำ)

นี่คือคุณสมบัติ BitLocker ดังนั้นคุณต้องใช้การเข้ารหัส BitLocker เพื่อตั้งค่า PIN ล่วงหน้าสำหรับบูต มีเฉพาะใน Windows รุ่น Professional และ Enterprise เท่านั้น ก่อนที่คุณจะสามารถตั้งค่า PIN คุณต้องเปิดใช้งาน BitLocker สำหรับไดรฟ์ระบบของคุณ.

โปรดทราบว่าหากคุณออกไปนอกทางเพื่อเปิดใช้งาน BitLocker บนคอมพิวเตอร์ที่ไม่มี TPM คุณจะได้รับแจ้งให้สร้างรหัสผ่านเริ่มต้นที่ใช้แทน TPM ขั้นตอนด้านล่างจำเป็นเฉพาะเมื่อเปิดใช้งาน BitLocker บนคอมพิวเตอร์ที่มี TPM ซึ่งคอมพิวเตอร์ส่วนใหญ่มี.

หากคุณมี Windows รุ่น Home คุณจะไม่สามารถใช้ BitLocker ได้ คุณอาจมีคุณสมบัติการเข้ารหัสอุปกรณ์แทน แต่วิธีนี้จะทำงานแตกต่างจาก BitLocker และไม่อนุญาตให้คุณระบุรหัสเริ่มต้น.

ขั้นตอนที่สอง: เปิดใช้งาน PIN เริ่มต้นในตัวแก้ไขนโยบายกลุ่ม

เมื่อคุณเปิดใช้งาน BitLocker แล้วคุณจะต้องออกจากการเปิดใช้งาน PIN ด้วย สิ่งนี้ต้องการการเปลี่ยนแปลงการตั้งค่านโยบายกลุ่ม หากต้องการเปิดตัวแก้ไขนโยบายกลุ่มให้กด Windows + R พิมพ์“ gpedit.msc” ในกล่องโต้ตอบเรียกใช้แล้วกด Enter.

ไปที่การกำหนดค่าคอมพิวเตอร์> เทมเพลตการดูแล> ส่วนประกอบ Windows> การเข้ารหัสไดรฟ์ด้วย BitLocker> ไดรฟ์ระบบปฏิบัติการในหน้าต่างนโยบายกลุ่ม.

คลิกสองครั้งที่ตัวเลือก“ ต้องการการรับรองความถูกต้องเพิ่มเติมเมื่อเริ่มต้น” ในบานหน้าต่างด้านขวา.

เลือก“ เปิดใช้งาน” ที่ด้านบนของหน้าต่างที่นี่ จากนั้นคลิกที่กล่องภายใต้“ กำหนดค่า PIN เริ่มต้นของ TPM” และเลือกตัวเลือก“ ต้องใช้ PIN เริ่มต้นด้วย TPM” คลิก“ ตกลง” เพื่อบันทึกการเปลี่ยนแปลงของคุณ.

ขั้นตอนที่สาม: เพิ่ม PIN ลงในไดรฟ์ของคุณ

ตอนนี้คุณสามารถใช้ จัดการ-BDE คำสั่งเพื่อเพิ่ม PIN ไปยังไดรฟ์ที่เข้ารหัสด้วย BitLocker ของคุณ.

เมื่อต้องการทำสิ่งนี้ให้เปิดหน้าต่างพร้อมท์คำสั่งในฐานะผู้ดูแลระบบ บน Windows 10 หรือ 8 ให้คลิกขวาที่ปุ่ม Start แล้วเลือก“ Command Prompt (Admin)” บน Windows 7 ค้นหาทางลัด“ พรอมต์คำสั่ง” ในเมนูเริ่มคลิกขวาแล้วเลือก“ เรียกใช้ในฐานะผู้ดูแลระบบ”

เรียกใช้คำสั่งต่อไปนี้ คำสั่งด้านล่างใช้งานได้กับไดรฟ์ C: ดังนั้นหากคุณต้องการคีย์เริ่มต้นสำหรับไดรฟ์อื่นให้ป้อนตัวอักษรชื่อไดรฟ์แทน C: .

จัดการ -Bde -protectors -add c: -TPMAndPIN

คุณจะได้รับแจ้งให้ป้อน PIN ที่นี่ ครั้งต่อไปที่คุณบู๊ตคุณจะถูกขอให้ป้อน PIN นี้.

ในการตรวจสอบอีกครั้งว่าตัวป้องกัน TPMAndPIN ถูกเพิ่มคุณสามารถเรียกใช้คำสั่งต่อไปนี้:

Manage-bde -status

(ตัวป้องกันคีย์ "รหัสผ่านตัวเลข" ที่แสดงที่นี่เป็นรหัสกู้คืนของคุณ)

วิธีการเปลี่ยน BitLocker PIN ของคุณ

หากต้องการเปลี่ยน PIN ในอนาคตให้เปิดหน้าต่างพรอมต์คำสั่งในฐานะผู้ดูแลระบบและเรียกใช้คำสั่งต่อไปนี้:

Manage-bde -changepin c:

คุณจะต้องพิมพ์และยืนยัน PIN ใหม่ก่อนดำเนินการต่อ.

วิธีการลบข้อกำหนด PIN

หากคุณเปลี่ยนใจและต้องการหยุดใช้ PIN ในภายหลังคุณสามารถยกเลิกการเปลี่ยนแปลงนี้ได้.

ก่อนอื่นคุณจะต้องมุ่งหน้าไปที่หน้าต่างนโยบายกลุ่มและเปลี่ยนตัวเลือกกลับเป็น“ อนุญาตให้ใช้ PIN เริ่มต้นด้วย TPM” คุณไม่สามารถออกจากตัวเลือกที่กำหนดเป็น“ ต้องใช้ PIN เริ่มต้นด้วย TPM” หรือ Windows จะไม่อนุญาตให้คุณลบ PIN.

ถัดไปเปิดหน้าต่างพรอมต์คำสั่งในฐานะผู้ดูแลและเรียกใช้คำสั่งต่อไปนี้:

Manage-bde -protectors -add c: -TPM

สิ่งนี้จะแทนที่ข้อกำหนด“ TPMandPIN” ด้วยข้อกำหนด“ TPM” โดยลบ PIN ไดรฟ์ BitLocker ของคุณจะปลดล็อคโดยอัตโนมัติผ่าน TPM ของคอมพิวเตอร์เมื่อคุณบู๊ต.

หากต้องการตรวจสอบว่าสิ่งนี้เสร็จสมบูรณ์ให้รันคำสั่งสถานะอีกครั้ง:

Manage-bde - สถานะ c:

หากคุณลืม PIN คุณจะต้องระบุรหัสกู้คืน BitLocker ที่คุณควรบันทึกไว้ในที่ปลอดภัยเมื่อคุณเปิดใช้งาน BitLocker สำหรับไดรฟ์ระบบของคุณ.