Cách kích hoạt mã PIN BitLocker Pre-Boot trên Windows

Tác giả Network Engineer, T.Mười 07, 2022, 09:49:26 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách kích hoạt mã PIN BitLocker Pre-Boot trên Windows


Nếu mã hóa ổ đĩa hệ thống Windows của mình bằng BitLocker, bạn có thể thêm mã PIN để tăng cường bảo mật. Bạn sẽ cần nhập mã PIN mỗi khi bật PC, trước khi Windows khởi động. Mã này tách biệt với mã PIN đăng nhập mà bạn nhập sau khi Windows khởi động.


1. Cách kích hoạt mã PIN BitLocker Pre-Boot trên Windows

Mã PIN trước khi khởi động ngăn không cho khóa mã hóa tự động được tải vào bộ nhớ hệ thống trong quá trình khởi động, bảo vệ chống lại các cuộc tấn công truy cập bộ nhớ trực tiếp (DMA) vào các hệ thống có phần cứng dễ bị tấn công. Tài liệu của Microsoft  giải thích điều này chi tiết hơn.

Bước một: Bật BitLocker (Nếu bạn chưa sử dụng)

Đây là một tính năng của BitLocker, vì vậy bạn phải sử dụng mã hóa BitLocker để đặt mã PIN trước khi khởi động. Tính năng này chỉ khả dụng trên các phiên bản Windows Professional và Enterprise. Trước khi có thể đặt mã PIN, bạn phải bật BitLocker cho ổ đĩa hệ thống của mình.


Lưu ý rằng, nếu bạn cố gắng  bật BitLocker trên máy tính không có TPM, bạn sẽ được nhắc tạo mật khẩu khởi động được sử dụng thay vì TPM. Các bước dưới đây chỉ cần thiết khi bật BitLocker trên máy tính có TPM mà  hầu hết các máy tính hiện đại đều có.

Nếu bạn có phiên bản Home của Windows, bạn sẽ không thể sử dụng BitLocker. Thay vào đó, bạn có thể có tính năng Mã hóa thiết bị , nhưng tính năng này hoạt động khác với BitLocker và không cho phép bạn cung cấp khóa khởi động.

Bước hai: Bật mã PIN khởi động trong Trình chỉnh sửa chính sách nhóm

Khi bạn đã bật BitLocker, bạn sẽ cần phải thực hiện theo cách của mình để kích hoạt mã PIN với nó. Điều này yêu cầu thay đổi cài đặt Chính sách Nhóm. Để mở Group Policy Editor, nhấn Windows + R, nhập "gpedit.msc" vào hộp thoại Run và nhấn Enter.

Đi tới Cấu hình máy tính> Mẫu quản trị> Thành phần Windows> Mã hóa ổ đĩa BitLocker> Ổ đĩa hệ điều hành trong cửa sổ Chính sách nhóm.

Nhấp đúp vào tùy chọn "Yêu cầu xác thực bổ sung khi khởi động" trong ngăn bên phải.


Chọn "Đã bật" ở đầu cửa sổ tại đây. Sau đó, nhấp vào hộp bên dưới "Định cấu hình mã PIN khởi động TPM" và chọn tùy chọn "Yêu cầu mã PIN khởi động với TPM". Nhấp vào "OK" để lưu các thay đổi của bạn.


Bước 3: Thêm mã PIN vào Drive của bạn

Giờ đây, bạn có thể sử dụng manage-bdelệnh để thêm mã PIN vào ổ đĩa được mã hóa BitLocker của mình.

Để thực hiện việc này, hãy khởi chạy cửa sổ Command Prompt với tư cách Quản trị viên. Trên Windows 10 hoặc 8, nhấp chuột phải vào nút Start và chọn "Command Prompt (Admin)". Trên Windows 7, tìm lối tắt "Command Prompt" trong menu Start, nhấp chuột phải vào nó và chọn "Run as Administrator"

Chạy lệnh sau. Lệnh dưới đây hoạt động trên ổ C: của bạn, vì vậy nếu bạn muốn yêu cầu khóa khởi động cho ổ đĩa khác, hãy nhập ký tự ổ đĩa của nó thay vì c:.

Mã nguồn [Chọn]
manage-bde -protectors -add c: -TPMAndPIN
Bạn sẽ được nhắc nhập mã PIN của mình tại đây. Trong lần khởi động tiếp theo, bạn sẽ được yêu cầu nhập mã PIN này.

Mẹo: Nếu bạn thấy lỗi, hãy chạy gpupdatelệnh trên dòng của chính nó trước khi chạy manage-bdelệnh hiển thị ở trên. Điều này sẽ buộc Windows áp dụng các thay đổi về chính sách nhóm của bạn.


Để kiểm tra kỹ xem trình bảo vệ TPMAndPIN đã được thêm hay chưa, bạn có thể chạy lệnh sau:

Mã nguồn [Chọn]
manage-bde -status
(Bộ bảo vệ khóa "Mật khẩu số" được hiển thị ở đây là khóa khôi phục của bạn.)


2. Cách thay đổi mã PIN BitLocker của bạn

Để thay đổi mã PIN trong tương lai, hãy mở cửa sổ Dấu nhắc lệnh với tư cách Quản trị viên và chạy lệnh sau:

Mã nguồn [Chọn]
manage-bde -changepin c:
Bạn sẽ cần nhập và xác nhận mã PIN mới của mình trước khi tiếp tục.


3. Cách xóa yêu cầu mã PIN

Nếu bạn đổi ý và muốn ngừng sử dụng mã PIN sau đó, bạn có thể hoàn tác thay đổi này.

Trước tiên, bạn cần phải chuyển đến cửa sổ Chính sách Nhóm và thay đổi tùy chọn trở lại thành "Cho phép mã PIN khởi động với TPM". Bạn không thể đặt tùy chọn thành "Yêu cầu mã PIN khởi động với TPM" nếu không Windows sẽ không cho phép bạn xóa mã PIN.


Tiếp theo, mở cửa sổ Command Prompt với tư cách Quản trị viên và chạy lệnh sau:

Mã nguồn [Chọn]
manage-bde -protectors -add c: -TPM
Điều này sẽ thay thế yêu cầu "TPMandPIN" bằng yêu cầu "TPM", xóa mã PIN. Ổ BitLocker của bạn sẽ tự động mở khóa thông qua TPM của máy tính khi bạn khởi động.


Để kiểm tra xem việc này đã hoàn tất thành công chưa, hãy chạy lại lệnh trạng thái:

Mã nguồn [Chọn]
manage-bde -status c:

Nếu quên mã PIN, bạn sẽ cần cung cấp mã khôi phục BitLocker mà lẽ ra bạn đã lưu ở nơi an toàn khi bật BitLocker cho ổ đĩa hệ thống của mình.