脚本启用bitlocker_如何在Windows上启用预启动BitLocker PIN

admin管理员组

文章数量:1530085

脚本启用bitlocker

If you encrypt your Windows system drive with BitLocker, you can add a PIN for additional security. You’ll need to enter the PIN each time you turn on your PC, before Windows will even start. This is separate from a login PIN, which you enter after Windows boots up.

如果使用BitLocker加密Windows系统驱动器 ，则可以添加PIN，以提高安全性。 每次启动PC之前，您都需要输入PIN码，Windows才能启动。 这与登录PIN分开，在Windows启动后输入该密码 。

A pre-boot PIN prevents the encryption key from automatically being loaded into system memory during the boot process, which protects against direct memory access (DMA) attacks on systems with hardware vulnerable to them. Microsoft’s documentation explains this in more detail.

引导前的PIN可以防止在引导过程中将加密密钥自动加载到系统内存中，从而防止对硬件易受其攻击的系统的直接内存访问(DMA)攻击。 Microsoft的文档对此进行了更详细的说明。

第一步：启用BitLocker(如果尚未安装) (Step One: Enable BitLocker (If You Haven’t Already))

This is a BitLocker feature, so you have to use BitLocker encryption to set a pre-boot PIN. This is only available on Professional and Enterprise editions of Windows. Before you can set a PIN, you have to enable BitLocker for your system drive.

这是BitLocker功能，因此您必须使用BitLocker加密来设置预引导PIN。 仅在Windows专业版和企业版中可用。 在设置PIN之前，您必须为系统驱动器启用BitLocker 。

Note that, if you go out of your way to enable BitLocker on a computer without a TPM, you’ll be prompted to create a startup password that’s used instead of the TPM. The below steps are only necessary when enabling BitLocker on computers with TPMs, which most modern computers have.

请注意，如果您不愿在没有TPM的计算机上启用BitLocker ，则会提示您创建一个用于代替TPM的启动密码。 只有在大多数现代计算机都具有TPM的计算机上启用BitLocker时，才需要执行以下步骤。

If you have a Home version of Windows, you won’t be able to use BitLocker. You may have the Device Encryption feature instead, but this works differently from BitLocker and doesn’t allow you to provide a startup key.

如果您拥有Windows的家庭版，则将无法使用BitLocker。 您可能具有设备加密功能，但这与BitLocker的工作原理不同，并且不允许您提供启动密钥。

第二步：在组策略编辑器中启用启动PIN (Step Two: Enable the Startup PIN in Group Policy Editor)

Once you’ve enabled BitLocker, you’ll need to go out of your way to enable a PIN with it. This requires a Group Policy settings change. To open the Group Policy Editor, press Windows+R, type “gpedit.msc” into the Run dialog, and press Enter.

启用BitLocker后，您将无法使用它来启用PIN。 这需要更改组策略设置。 要打开组策略编辑器，请按Windows + R，在“运行”对话框中键入“ gpedit.msc”，然后按Enter。

Head to Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives in the Group Policy window.

转到“组策略”窗口中的计算机配置>管理模板> Windows组件> BitLocker驱动器加密>操作系统驱动器。

Double-click the “Require Additional Authentication at Startup” Option in the right pane.

双击右窗格中的“启动时要求附加身份验证”选项。

Select “Enabled” at the top of the window here. Then, click the box under “Configure TPM Startup PIN” and select the “Require Startup PIN With TPM” option. Click “OK” to save your changes.

在此处的窗口顶部选择“启用”。 然后，单击“配置TPM启动PIN”下的框，然后选择“需要使用TPM启动PIN”选项。 单击“确定”保存更改。

第三步：向驱动器添加PIN (Step Three: Add a PIN to Your Drive)

You can now use the manage-bde command to add the PIN to your BitLocker-encrypted drive.

现在，您可以使用manage-bde命令将PIN添加到BitLocker加密的驱动器中。

To do this, launch a Command Prompt window as Administrator. On Windows 10 or 8, right-click the Start button and select “Command Prompt (Admin)”. On Windows 7, find the “Command Prompt” shortcut in the Start menu, right-click it, and select “Run as Administrator”

为此，以管理员身份启动“命令提示符”窗口。 在Windows 10或8上，右键单击“开始”按钮，然后选择“命令提示符(Admin)”。 在Windows 7上，在“开始”菜单中找到“命令提示符”快捷方式，右键单击它，然后选择“以管理员身份运行”

Run the following command. The below command works on your C: drive, so if you want to require a startup key for another drive, enter its drive letter instead of c: .

运行以下命令。 以下命令在您的C：驱动器上起作用，因此，如果您需要另一个驱动器的启动密钥，请输入其驱动器号而不是c:

manage-bde -protectors -add c: -TPMAndPIN

You’ll be prompted to enter your PIN here. The next time you boot, you’ll be asked for this PIN.

系统会提示您在此处输入PIN码。 下次启动时，系统会要求您输入此PIN。

To double-check whether the TPMAndPIN protector was added, you can run the following command:

要仔细检查是否添加了TPMAndPIN保护器，可以运行以下命令：

manage-bde -status

(The “Numerical Password” key protector displayed here is your recovery key.)

(此处显示的“数字密码”密钥保护器是您的恢复密钥。)

如何更改您的BitLocker PIN (How to Change Your BitLocker PIN)

To change the PIN in the future, open a Command Prompt window as Administrator and run the following command:

要将来更改PIN，请以管理员身份打开“命令提示符”窗口，然后运行以下命令：

manage-bde -changepin c:

You’ll need to type and confirm your new PIN before continuing.

您需要输入并确认新的PIN才能继续。

如何删除PIN要求 (How to Remove the PIN Requirement)

If you change your mind and want to stop using the PIN later, you can undo this change.

如果您改变主意并希望以后再停止使用PIN，则可以撤消此更改。

First, you’ll need to head to the Group Policy window and change the option back to “Allow Startup PIN With TPM”. You can’t leave the option set to “Require Startup PIN With TPM” or Windows won’t allow you to remove the PIN.

首先，您需要转到组策略窗口，然后将选项更改回“ Allow Startup PIN With TPM”。 您不能将选项设置为“需要使用TPM的启动PIN”，否则Windows将不允许您删除PIN。

Next, open a Command Prompt window as Administrator and run the following command:

接下来，以管理员身份打开“命令提示符”窗口，然后运行以下命令：

manage-bde -protectors -add c: -TPM

This will replace the “TPMandPIN” requirement with a “TPM” requirement, deleting the PIN. Your BitLocker drive will automatically unlock via your computer’s TPM when you boot.

这将用“ TPM”要求代替“ TPMandPIN”要求，删除PIN。 引导时，您的BitLocker驱动器将通过计算机的TPM自动解锁。

To check that this completed successfully, run the status command again:

要检查此操作是否成功完成，请再次运行status命令：

manage-bde -status c:

---

---

If you forget the PIN, you’ll need to provide the BitLocker recovery code you should have saved somewhere safe when you enabled BitLocker for your system drive.

如果您忘记了PIN，则需要提供BitLocker恢复代码，当为系统驱动器启用BitLocker时，应该将其保存在安全的地方。

翻译自: https://www.howtogeek/262720/how-to-enable-a-pre-boot-bitlocker-pin-on-windows/

脚本启用bitlocker

本文标签： 脚本如何在pinWindowsBitLocker