Pagina inicial » como » Como habilitar um PIN do BitLocker de pré-inicialização no Windows

    Como habilitar um PIN do BitLocker de pré-inicialização no Windows

    Se você criptografar sua unidade do sistema Windows com o BitLocker, poderá adicionar um PIN para segurança adicional. Você precisará digitar o PIN sempre que ligar o computador, antes mesmo de iniciar o Windows. Isso é separado de um PIN de login, digitado depois que o Windows é inicializado.

    Um PIN de pré-inicialização impede que a chave de criptografia seja carregada automaticamente na memória do sistema durante o processo de inicialização, o que protege contra ataques de acesso direto à memória (DMA) em sistemas com hardware vulnerável a eles. A documentação da Microsoft explica isso com mais detalhes.

    Etapa 1: Ativar o BitLocker (se você ainda não tiver)

    Esse é um recurso do BitLocker, portanto, você precisa usar a criptografia do BitLocker para definir um PIN de pré-inicialização. Isso está disponível apenas nas edições Professional e Enterprise do Windows. Antes de definir um PIN, você precisa habilitar o BitLocker para sua unidade de sistema.

    Observe que, se você se esforçar para habilitar o BitLocker em um computador sem um TPM, será solicitado que você crie uma senha de inicialização usada em vez do TPM. As etapas abaixo são necessárias apenas ao habilitar o BitLocker em computadores com TPMs, que a maioria dos computadores modernos.

    Se você tiver uma versão inicial do Windows, não poderá usar o BitLocker. Você pode ter o recurso Criptografia de dispositivo, mas isso funciona de maneira diferente do BitLocker e não permite fornecer uma chave de inicialização.

    Etapa dois: ativar o PIN de inicialização no editor de diretiva de grupo

    Depois de ativar o BitLocker, você precisará sair do seu caminho para ativar um PIN com ele. Isso requer uma alteração de configurações de diretiva de grupo. Para abrir o Editor de políticas de grupo, pressione Windows + R, digite “gpedit.msc” na caixa de diálogo Executar e pressione Enter.

    Vá até Configuração do Computador> Modelos Administrativos> Componentes do Windows> Criptografia de Unidade de Disco BitLocker> Unidades do Sistema Operacional na janela Diretiva de Grupo.

    Clique duas vezes na opção "Exigir autenticação adicional na inicialização" no painel direito.

    Selecione "Ativado" no topo da janela aqui. Em seguida, clique na caixa em “Configurar PIN de inicialização do TPM” e selecione a opção “Exigir PIN de inicialização com TPM”. Clique em "OK" para salvar suas alterações.

    Etapa 3: adicionar um PIN ao seu Drive

    Agora você pode usar o gerenciar-bde comando para adicionar o PIN à sua unidade criptografada pelo BitLocker.

    Para fazer isso, inicie uma janela do prompt de comando como administrador. No Windows 10 ou 8, clique com o botão direito do mouse no botão Iniciar e selecione "Prompt de comando (Admin)". No Windows 7, localize o atalho "Prompt de comando" no menu Iniciar, clique com o botão direito e selecione "Executar como administrador"

    Execute o seguinte comando. O comando abaixo funciona na sua unidade C :, portanto, se você quiser exigir uma chave de inicialização para outra unidade, insira a letra da unidade em vez de c: .

    gerencia-bde -protetores -add c: -TPMAndPIN

    Você será solicitado a inserir seu PIN aqui. Da próxima vez que você inicializar, será solicitado esse PIN.

    Para verificar novamente se o protetor TPMAndPIN foi adicionado, você pode executar o seguinte comando:

    gerenciar-bde -status

    (O protetor de tecla "Senha Numérica" ​​exibido aqui é a sua chave de recuperação.)

    Como alterar seu PIN do BitLocker

    Para alterar o PIN no futuro, abra uma janela do Prompt de Comando como Administrador e execute o seguinte comando:

    manage-bde -changepin c:

    Você precisará digitar e confirmar seu novo PIN antes de continuar.

    Como remover o requisito de PIN

    Se você mudar de ideia e quiser interromper o uso do PIN mais tarde, poderá desfazer essa alteração.

    Primeiro, você precisa ir para a janela Diretiva de grupo e alterar a opção de volta para "Permitir PIN de inicialização com TPM". Você não pode deixar a opção definida como "Exigir PIN de inicialização com TPM" ou o Windows não permitirá que você remova o PIN.

    Em seguida, abra uma janela do Prompt de Comando como Administrador e execute o seguinte comando:

    gerencia-bde-protetores -add c: -TPM

    Isso substituirá o requisito "TPMandPIN" por um requisito "TPM", excluindo o PIN. Sua unidade do BitLocker será desbloqueada automaticamente pelo TPM do seu computador quando você inicializar.

    Para verificar se isso foi concluído com sucesso, execute o comando status novamente:

    gerenciar-bde -status c:


    Se você esquecer o PIN, precisará fornecer o código de recuperação do BitLocker que salvou em algum lugar seguro ao habilitar o BitLocker para a unidade do sistema..