Mã PIN trước khi khởi động ngăn khóa mã hóa tự động được tải vào bộ nhớ hệ thống trong quá trình khởi động, bảo vệ chống lại các tấn công truy cập bộ nhớ trực tiếp (DMA) trên các hệ thống có phần cứng dễ bị tấn công. Tài liệu của Microsoft giải thích chi tiết hơn.
Bước một: Bật BitLocker (Nếu bạn chưa có)
Lưu ý rằng, nếu bạn sử dụng BitLocker trên máy tính không có TPM, bạn sẽ được nhắc tạo mật khẩu khởi động được sử dụng thay cho TPM. Các bước dưới đây chỉ cần thiết khi bật BitLocker trên các máy tính có TPM, mà hầu hết các máy tính hiện đại đều có.
Nếu bạn có phiên bản Home của Windows, bạn sẽ không thể sử dụng BitLocker. Thay vào đó, bạn có thể có tính năng Mã hóa thiết bị, nhưng tính năng này hoạt động khác với BitLocker và không cho phép bạn cung cấp khóa khởi động.
Bước hai: Bật mã PIN khởi động trong Trình chỉnh sửa chính sách nhóm
Khi bạn đã bật BitLocker, bạn sẽ cần phải thực hiện theo cách của mình để bật mã PIN. Điều này yêu cầu thay đổi cài đặt Chính sách nhóm. Để mở Group Policy Editor, nhấn Windows + R, gõ "gpedit.msc" vào hộp thoại Run và nhấn Enter.
Đi tới Cấu hình Máy tính> Mẫu Quản trị> Cấu phần Windows> Mã hóa ổ đĩa BitLocker> Ổ đĩa Hệ điều hành trong cửa sổ Chính sách Nhóm.
Nhấp đúp vào tùy chọn “Yêu cầu xác thực bổ sung khi khởi động” trong ngăn bên phải.
Bước ba: Thêm mã PIN vào Drive của bạn
Bây giờ bạn có thể sử dụng
manage-bde
lệnh để thêm mã PIN vào ổ đĩa được mã hóa BitLocker của bạn.
Để thực hiện việc này, hãy khởi chạy cửa sổ Dấu nhắc Lệnh làm Quản trị viên. Trên Windows 10 hoặc 8, nhấp chuột phải vào nút Start và chọn "Command Prompt (Admin)". Trên Windows 7, tìm lối tắt “Command Prompt” trong menu Start, nhấp chuột phải vào nó và chọn “Run as Administrator”
Chạy lệnh sau. Lệnh dưới đây hoạt động trên ổ C: vì vậy nếu bạn muốn yêu cầu khóa khởi động cho ổ đĩa khác, hãy nhập ký tự ổ đĩa thay vì
c:
manage-bde -protectors -add c: -TPMAndPIN
Bạn sẽ được nhắc nhập mã PIN của mình tại đây. Lần tới khi khởi động, bạn sẽ được yêu cầu nhập mã PIN này.
manage-bde -status
(Bộ bảo vệ khóa “Mật khẩu số” được hiển thị ở đây là khóa khôi phục của bạn.)
Cách thay đổi mã PIN BitLocker của bạn
Để thay đổi mã PIN trong tương lai, hãy mở cửa sổ Dấu nhắc Lệnh làm Quản trị viên và chạy lệnh sau:
manage-bde -changepin c:
Bạn sẽ cần nhập và xác nhận mã PIN mới của mình trước khi tiếp tục.
Cách xóa yêu cầu mã PIN
Nếu bạn thay đổi ý định và muốn ngừng sử dụng mã PIN sau này, bạn có thể hoàn tác thay đổi này.
Trước tiên, bạn sẽ cần phải đi đến cửa sổ Chính sách Nhóm và thay đổi tùy chọn trở lại thành “Cho phép mã PIN khởi động với TPM”. Bạn không thể để tùy chọn được đặt thành “Yêu cầu mã PIN khởi động với TPM” hoặc Windows sẽ không cho phép bạn xóa mã PIN.
manage-bde -protectors -add c: -TPM
Điều này sẽ thay thế yêu cầu “TPMandPIN” bằng yêu cầu “TPM”, xóa mã PIN. Ổ BitLocker của bạn sẽ tự động mở khóa qua TPM của máy tính khi bạn khởi động.
manage-bde -status c:
Nếu bạn quên mã PIN, bạn sẽ cần cung cấp mã khôi phục BitLocker mà bạn đã lưu ở nơi an toàn khi bạn bật BitLocker cho ổ đĩa hệ thống của mình.
