Hoe een pre-boot BitLocker-PIN in Windows in te schakelen
Als u uw Windows-systeemschijf versleutelt met BitLocker, kunt u een pincode toevoegen voor extra beveiliging. U moet de pincode invoeren telkens wanneer u uw pc inschakelt, voordat Windows zelfs maar start. Dit staat los van een inlogpincode die u invoert nadat Windows opstart.
Een pre-boot PIN voorkomt dat de coderingssleutel automatisch in het systeemgeheugen wordt geladen tijdens het opstartproces, dat beschermt tegen direct memory access (DMA) -aanvallen op systemen met hardware die kwetsbaar is voor hen. De documentatie van Microsoft legt dit in meer detail uit.
Stap één: BitLocker inschakelen (als u dat nog niet hebt gedaan)
Dit is een BitLocker-functie, dus u moet BitLocker-codering gebruiken om een pre-boot-PIN in te stellen. Dit is alleen beschikbaar in professionele en zakelijke edities van Windows. Voordat u een pincode kunt instellen, moet u BitLocker inschakelen voor uw systeemstation.
Houd er rekening mee dat als u uw best doet om BitLocker in te schakelen op een computer zonder een TPM, u wordt gevraagd om een opstartwachtwoord te maken dat wordt gebruikt in plaats van de TPM. De onderstaande stappen zijn alleen nodig bij het inschakelen van BitLocker op computers met TPM's, die de meeste moderne computers hebben.
Als u een startversie van Windows hebt, kunt u BitLocker niet gebruiken. Mogelijk hebt u in plaats daarvan de apparaatcodering, maar dit werkt anders dan bij BitLocker en u kunt geen opstartsleutel opgeven..
Stap twee: Schakel de startpincode in de groepsbeleid-editor in
Nadat u BitLocker hebt ingeschakeld, moet u ervoor zorgen dat u een pincode kunt gebruiken. Dit vereist een verandering van groepsbeleidinstellingen. Om de Groepsbeleid-editor te openen, drukt u op Windows + R, typt u "gpedit.msc" in het dialoogvenster Uitvoeren en drukt u op Enter.
Ga naar Computerconfiguratie> Beheersjablonen> Windows-onderdelen> BitLocker-stationsversleuteling> Besturingssysteemstations in het venster Groepsbeleid.
Dubbelklik op de optie "Extra verificatie vereisen bij opstarten" in het rechterdeelvenster.
Selecteer hier "Ingeschakeld" bovenaan het venster. Klik vervolgens op het vakje onder "TPM-opstart-PIN configureren" en selecteer de optie "Opstart PIN met TPM vereisen". Klik op "OK" om uw wijzigingen op te slaan.
Stap drie: voeg een pincode toe aan uw schijf
U kunt nu de manage-bde
commando om de PIN toe te voegen aan uw BitLocker-gecodeerde schijf.
Hiertoe opent u een opdrachtpromptvenster als beheerder. Klik op Windows 10 of 8 met de rechtermuisknop op de knop Start en selecteer "Opdrachtprompt (Beheerder)". Zoek in Windows 7 de snelkoppeling "Opdrachtprompt" in het menu Start, klik er met de rechtermuisknop op en selecteer "Uitvoeren als beheerder"
Voer de volgende opdracht uit. De onderstaande opdracht werkt op uw C: -station, dus als u een opstartsleutel voor een ander station wilt, voert u de stationsletter ervan in c:
.
manage-bde -protectors -add c: -TPMAndPIN
U wordt hier gevraagd uw pincode op te geven. De volgende keer dat u opstart, wordt u om deze pincode gevraagd.
Om te controleren of de TPMAndPIN-protector is toegevoegd, kunt u de volgende opdracht uitvoeren:
manage-bde -status
(De sleutelbeschermer "Numeriek wachtwoord" die hier wordt weergegeven, is uw herstelsleutel.)
Hoe uw BitLocker-pincode te wijzigen
Om de pincode in de toekomst te wijzigen, opent u een opdrachtpromptvenster als beheerder en voert u de volgende opdracht uit:
manage-bde -changepin c:
U moet uw nieuwe pincode typen en bevestigen voordat u doorgaat.
Hoe de PIN-vereisten te verwijderen
Als u van gedachten verandert en de pincode later niet langer wilt gebruiken, kunt u deze wijziging ongedaan maken.
Eerst moet u naar het venster Groepsbeleid gaan en de optie terugzetten naar "Pincode voor opstarten met TPM toestaan". U kunt de optie "Opstart-PIN vereist met TPM" niet laten staan of Windows laat u de PIN-code niet verwijderen.
Open vervolgens een opdrachtpromptvenster als beheerder en voer de volgende opdracht uit:
manage-bde -protectors -add c: -TPM
Dit zal de vereiste "TPM en PIN" vervangen door een vereiste "TPM", waarbij de PIN wordt verwijderd. Uw BitLocker-schijf wordt automatisch ontgrendeld via de TPM van uw computer tijdens het opstarten.
Om te controleren of dit met succes is voltooid, voert u de statusopdracht nogmaals uit:
manage-bde -status c:
Als u de pincode bent vergeten, moet u de BitLocker-herstelcode opgeven die u ergens op een veilige plek had moeten opslaan toen u BitLocker voor uw systeemstation had ingeschakeld.