Um PIN de pré-inicialização impede que a chave de criptografia seja carregada automaticamente na memória do sistema durante o processo de inicialização, o que protege contra ataques de acesso direto à memória (DMA) em sistemas com hardware vulnerável a eles. A documentação da Microsoft explica isso com mais detalhes.
Etapa 1: habilitar o BitLocker (se você não tiver já)
Observe que, se você se esforçar para ativar o BitLocker em um computador sem um TPM, será solicitado que você crie uma senha de inicialização usada em vez do TPM. As etapas abaixo são necessárias somente ao habilitar o BitLocker em computadores com TPMs, o que a maioria dos computadores modernos possui.
Se você tiver uma versão inicial do Windows, não poderá usar o BitLocker. Você pode ter o recurso Criptografia de dispositivo, mas isso funciona de maneira diferente do BitLocker e não permite fornecer uma chave de inicialização.
Etapa dois: ativar o PIN de inicialização no Editor de diretiva de grupo
Depois de ativar o BitLocker, você precisará se esforçar para ativar um PIN com ele. Isso requer uma alteração de configurações de diretiva de grupo. Para abrir o Editor de políticas de grupo, pressione Windows + R, digite “gpedit.msc” na caixa de diálogo Executar e pressione Enter.
Vá até Configuração do Computador> Modelos Administrativos> Componentes do Windows> Criptografia de Unidade de Disco BitLocker> Unidades do Sistema Operacional na janela Diretiva de Grupo.
Clique duas vezes na opção “Exigir autenticação adicional na inicialização” no painel direito.
Etapa 3: adicionar um PIN ao seu Drive
Agora você pode usar o
manage-bde
comando para adicionar o PIN à sua unidade criptografada pelo BitLocker.
Para fazer isso, inicie uma janela do prompt de comando como administrador. No Windows 10 ou 8, clique com o botão direito do mouse no botão Iniciar e selecione "Prompt de comando (Admin)". No Windows 7, localize o atalho "Prompt de comando" no menu Iniciar, clique com o botão direito e selecione "Executar como administrador"
Execute o seguinte comando. O comando abaixo funciona na sua unidade C:, portanto, se você quiser exigir uma chave de inicialização para outra unidade, insira a letra da unidade em vez de
c:
manage-bde -protectors -add c: -TPMAndPIN
Você será solicitado a inserir seu PIN aqui. Da próxima vez que você inicializar, será solicitado esse PIN.
manage-bde -status
(O protetor de tecla “Senha Numérica” exibido aqui é sua chave de recuperação).
Como alterar seu PIN do BitLocker
Para alterar o PIN no futuro, abra uma janela do Prompt de Comando como Administrador e execute o seguinte comando:
manage-bde -changepin c:
Você precisará digitar e confirmar seu novo PIN antes de continuar.
Como remover o requisito de PIN
Se você mudar de ideia e quiser interromper o uso do PIN mais tarde, poderá desfazer essa alteração.
Primeiro, você precisa ir para a janela Diretiva de grupo e alterar a opção de volta para "Permitir PIN de inicialização com TPM". Você não pode deixar a opção definida como "Exigir PIN de inicialização com TPM" ou o Windows não permitirá a remoção do PIN.
manage-bde -protectors -add c: -TPM
Isso substituirá o requisito "TPMandPIN" por um requisito "TPM", excluindo o PIN. Sua unidade do BitLocker será desbloqueada automaticamente pelo TPM do seu computador quando você inicializar.
manage-bde -status c:
Se você esquecer o PIN, precisará fornecer o código de recuperação do BitLocker que salvou em algum lugar seguro ao habilitar o BitLocker para a sua unidade do sistema.
