Un PIN pre-avvio impedisce il caricamento automatico della chiave di crittografia nella memoria di sistema durante il processo di avvio, che protegge dagli attacchi di accesso diretto alla memoria (DMA) sui sistemi con hardware vulnerabili. La documentazione di Microsoft lo spiega in modo più dettagliato.
Passo 1: abilita BitLocker (se non lo hai già fatto)
Tieni presente che, se fai di tutto per abilitare BitLocker su un computer senza un TPM, ti verrà richiesto di creare una password di avvio che viene utilizzata al posto del TPM. I seguenti passaggi sono necessari solo quando si abilita BitLocker su computer con TPM, quali sono i computer più moderni.
Se si dispone di una versione Home di Windows, non sarà possibile utilizzare BitLocker. Potresti avere invece la funzione Crittografia dispositivo, ma funziona diversamente da BitLocker e non ti consente di fornire una chiave di avvio.
Passaggio 2: abilitare il PIN di avvio nell'Editor criteri di gruppo
Dopo aver abilitato BitLocker, dovrai fare tutto il possibile per abilitare un PIN. Ciò richiede una modifica delle impostazioni di Criteri di gruppo. Per aprire l'Editor criteri di gruppo, premere Windows + R, digitare "gpedit.msc" nella finestra di dialogo Esegui e premere Invio.
Vai a Configurazione computer> Modelli amministrativi> Componenti di Windows> Crittografia unità BitLocker> Unità del sistema operativo nella finestra Criteri di gruppo.
Fare doppio clic sull'opzione "Richiedi autenticazione aggiuntiva all'avvio" nel riquadro di destra.
Passaggio 3: aggiungi un PIN al tuo Drive
Ora puoi usare il
manage-bde
comando per aggiungere il PIN all'unità crittografata con BitLocker.
Per fare ciò, avviare una finestra del prompt dei comandi come amministratore. In Windows 10 o 8, fare clic con il pulsante destro del mouse sul pulsante Start e selezionare "Prompt dei comandi (Admin)". In Windows 7, individua il collegamento "Prompt dei comandi" nel menu Start, fai clic con il pulsante destro del mouse e seleziona "Esegui come amministratore"
Esegui il seguente comando. Il comando seguente funziona sull'unità C: quindi, se si desidera richiedere una chiave di avvio per un'altra unità, immettere la lettera dell'unità anziché
c:
manage-bde -protectors -add c: -TPMAndPIN
Ti verrà richiesto di inserire il tuo PIN qui. La prossima volta che avvii, ti verrà richiesto questo PIN.
manage-bde -status
(La protezione della chiave "Password numerica" visualizzata qui è la chiave di ripristino.)
Come modificare il PIN di BitLocker
Per cambiare il PIN in futuro, aprire una finestra del prompt dei comandi come amministratore ed eseguire il seguente comando:
manage-bde -changepin c:
Dovrai digitare e confermare il nuovo PIN prima di continuare.
Come rimuovere il requisito PIN
Se cambi idea e vuoi smettere di usare il PIN più tardi, puoi annullare questa modifica.
Innanzitutto, è necessario accedere alla finestra Criteri di gruppo e ripristinare l'opzione "Consenti PIN avvio con TPM". Non è possibile lasciare l'opzione impostata su "Richiedi PIN di avvio con TPM" o Windows non consente di rimuovere il PIN.
manage-bde -protectors -add c: -TPM
Questo sostituirà il requisito "TPMandPIN" con un requisito "TPM", eliminando il PIN. L'unità BitLocker si sbloccherà automaticamente tramite il TPM del computer all'avvio.
manage-bde -status c:
Se si dimentica il PIN, è necessario fornire il codice di ripristino di BitLocker che si sarebbe dovuto salvare in un luogo sicuro quando si abilitava BitLocker per l'unità di sistema.
