Jika Anda mengenkripsi drive sistem Windows Anda dengan BitLocker, Anda dapat menambahkan PIN untuk keamanan tambahan. Anda harus memasukkan PIN setiap kali menyalakan PC Anda, bahkan sebelum Windows dimulai. Ini terpisah dari PIN masuk, yang Anda masukkan setelah Windows melakukan booting.
PIN pra-boot mencegah kunci enkripsi dari secara otomatis dimuat ke dalam memori sistem selama proses boot, yang melindungi terhadap serangan akses memori langsung (DMA) pada sistem dengan perangkat keras yang rentan terhadapnya. Dokumentasi Microsoft menjelaskan ini secara lebih rinci.
Ini adalah fitur BitLocker, jadi Anda harus menggunakan enkripsi BitLocker untuk mengatur PIN pra-boot. Ini hanya tersedia di edisi Profesional dan Enterprise Windows. Sebelum Anda dapat mengatur PIN, Anda harus mengaktifkan BitLocker untuk drive sistem Anda.
Perhatikan bahwa, jika Anda keluar dari jalan untuk mengaktifkan BitLocker di komputer tanpa TPM, Anda akan diminta untuk membuat kata sandi startup yang digunakan alih-alih TPM. Langkah-langkah di bawah ini hanya diperlukan saat mengaktifkan BitLocker di komputer dengan TPM, yang dimiliki komputer modern.
Jika Anda memiliki versi Home Windows, Anda tidak akan dapat menggunakan BitLocker. Anda mungkin memiliki fitur Enkripsi Perangkat, tetapi ini bekerja secara berbeda dari BitLocker dan tidak memungkinkan Anda untuk menyediakan kunci startup.
Setelah Anda mengaktifkan BitLocker, Anda harus keluar dari jalan untuk mengaktifkan PIN dengannya. Ini membutuhkan perubahan pengaturan Kebijakan Grup. Untuk membuka Editor Kebijakan Grup, tekan Windows + R, ketik "gpedit.msc" ke dalam dialog Run, dan tekan Enter.
Buka Konfigurasi Komputer> Template Administratif> Komponen Windows> Enkripsi Drive BitLocker> Drive Sistem Pengoperasian di jendela Kebijakan Grup.
Klik dua kali Opsi "Wajib Otentikasi Tambahan saat Startup" di panel kanan.
Pilih "Diaktifkan" di bagian atas jendela di sini. Kemudian, klik kotak di bawah "Konfigurasi TPM Startup PIN" dan pilih "Mengharuskan Startup PIN Dengan TPM" pilihan. Klik "OK" untuk menyimpan perubahan Anda.
Anda sekarang dapat menggunakan kelola-bde
perintah untuk menambahkan PIN ke drive yang dienkripsi BitLocker Anda.
Untuk melakukan ini, jalankan jendela Command Prompt sebagai Administrator. Pada Windows 10 atau 8, klik kanan tombol Start dan pilih "Command Prompt (Admin)". Pada Windows 7, temukan pintasan "Command Prompt" di menu Start, klik kanan, dan pilih "Run as Administrator"
Jalankan perintah berikut. Perintah di bawah berfungsi pada drive C: Anda, jadi jika Anda ingin meminta kunci startup untuk drive lain, masukkan huruf drivenya sebagai ganti c:
.
kelola-bde -protectors -tambahkan c: -TPMAndPIN
Anda akan diminta memasukkan PIN Anda di sini. Saat berikutnya Anda boot, Anda akan diminta untuk PIN ini.
Untuk memeriksa ulang apakah pelindung TPMAndPIN ditambahkan, Anda dapat menjalankan perintah berikut:
mengelola-bde -status
(Kunci pengaman "Numerical Password" yang ditampilkan di sini adalah kunci pemulihan Anda.)
Untuk mengubah PIN di masa depan, buka jendela Command Prompt sebagai Administrator dan jalankan perintah berikut:
kelola-bde -changepin c:
Anda harus mengetik dan mengkonfirmasi PIN baru Anda sebelum melanjutkan.
Jika Anda berubah pikiran dan ingin berhenti menggunakan PIN nanti, Anda dapat membatalkan perubahan ini.
Pertama, Anda harus menuju ke jendela Kebijakan Grup dan mengubah opsi kembali ke "Izinkan PIN Startup Dengan TPM". Anda tidak dapat meninggalkan opsi yang disetel ke “Memerlukan PIN Startup Dengan TPM” atau Windows tidak akan memungkinkan Anda untuk menghapus PIN.
Selanjutnya, buka jendela Command Prompt sebagai Administrator dan jalankan perintah berikut:
kelola-bde -protectors -tambahkan c: -TPM
Ini akan menggantikan persyaratan "TPMandPIN" dengan persyaratan "TPM", menghapus PIN. Drive BitLocker Anda akan secara otomatis membuka kunci melalui TPM komputer Anda ketika Anda boot.
Untuk memeriksa bahwa ini berhasil diselesaikan, jalankan perintah status lagi:
kelola-bde -status c:
Jika Anda lupa PIN, Anda harus memberikan kode pemulihan BitLocker yang seharusnya Anda simpan di tempat yang aman ketika Anda mengaktifkan BitLocker untuk drive sistem Anda.