Como defino o PIN do BitLocker?

15

Estou executando o Windows 7 RTM e tenho as duas unidades físicas BitLockered. Como minha máquina possui um TPM, ela inicializa tudo muito bem quando a ligo. Mas meus empregadores prefeririam se eu fosse desafiado por uma senha no momento da inicialização.

Eu encontrei este artigo: http://4sysops.com/archives/review-windows-7-bitlocker/ que indica quais sinalizadores de diretiva de grupo devem ser definidos para que o BitLocker desafie um PIN na inicialização.

O que não consigo encontrar é como definir esse PIN, pois o sistema já está criptografado?

Também me deparei com http://technet.microsoft.com/en-us/library/dd875532%28WS.10%29.aspx e estou curioso para saber qual dessas recomendações é segura de aplicar a um sistema já criptografado?

bitlocker Colin Desmond
fonte

Respostas:

22

Encontre a resposta, supondo que você tenha o BitLocker instalado e em execução, faça as alterações:

Para habilitar o TPM e o PIN na inicialização:

Usando o Editor de Diretiva de Grupo (Iniciar -> gpedit.msc e pressione Enter), vá para:

Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Operating System Drives

e abra a chave

"Require additional authentication at startup"

Em seguida, ative essa chave e defina " Configure TPM startup Pin:" como"Require startup PIN with TPM"

Para definir o uso real do PIN em um prompt de CMD

manage-bde -protectors -add c: -TPMAndPIN

Isso solicitará um PIN que, em seguida, exige que você insira na inicialização.

Colin Desmond
fonte
2
Eu acho que é "cscript manage-bde.wsf -protectors -add c: -TPMAndPIN" - certo? Além disso, acho que não é necessário alterar a política de grupo, a menos que você queira forçar o uso do TPM + PIN em volumes criptografados subseqüentemente. Nesse caso, basta adicionar o PIN (por meio do cmd "manage-bde"), o que é desejado. Enfim, +1 para todos os detalhes!
Garrett
Obrigado, procuramos esta resposta nas últimas duas semanas.
Richard Clayton
No Windows 8.1, você precisa modificar a Diretiva de Grupo e ativar a chave mencionada (não é necessário alterá-la para 'exigir'; o padrão 'permitir' está correto). Caso contrário, o último comando falhará e solicitará que você modifique a Diretiva de Grupo.
Sam
No Windows 8.1, depois de ativar a diretiva de grupo, você pode definir o PIN por meio da GUI de configuração do BitLocker. Uma nova opção aparece: "Altere como a unidade é desbloqueada na inicialização", onde você pode definir um PIN confortavelmente. Blog post com screenshots para todo o processo: windows-infrastructure.de/enable-bitlocker-tpm-and-pin
Anton Kaiser
1

Windows 7 - digite na caixa de pesquisa (iniciar) 'cmd "clique com o botão direito do mouse no programa encontrado acima;' cmd 'e selecione' executar como administrador"; em seguida, use manage-bde -protectors -add c: -TPMAndPIN conforme indicado acima


fonte
0

http://technet.microsoft.com/en-us/library/dd875513(WS.10).aspx#BKMK_protectors

execute como admin para excluir os protetores associados: cscript manage-bde.wsf -protectors -delete

Em seguida, inclua apenas o TPM apenas: cscript manage-bde.wsf -protectors -add -tpm

Para verificar quais protetores estão sendo usados ​​pelo seu sistema, execute cscript manage-bde.wsf -status

Se você estiver usando o Win 7, altere manage-bde.wsf para manage-bde.exe e você estará pronto.


fonte