Se si crittografa l'unità di sistema di Windows con BitLocker, è possibile aggiungere un PIN per maggiore sicurezza. Dovrai inserire il PIN ogni volta che accendi il PC, prima ancora che Windows si avvii. Questo è separato da un PIN di accesso, che viene inserito dopo l'avvio di Windows.
RELAZIONATO: Come utilizzare una chiave USB per sbloccare un PC crittografato con BitLocker
Un PIN di pre-avvio impedisce che la chiave di crittografia venga caricata automaticamente nella memoria di sistema durante il processo di avvio, proteggendo dagli attacchi DMA (direct memory access) su sistemi con hardware a loro vulnerabile. La documentazione di Microsoft spiega questo in modo più dettagliato.
Passo 1: abilitare BitLocker (se non lo hai già fatto)
RELAZIONATO: Come impostare la crittografia BitLocker su Windows
Questa è una funzionalità di BitLocker, quindi è necessario utilizzare la crittografia BitLocker per impostare un PIN di pre-avvio. Questo è disponibile solo nelle edizioni Professional ed Enterprise di Windows. Prima di poter impostare un PIN, è necessario abilitare BitLocker per l'unità di sistema.
Tieni presente che, se fai del tuo meglio per abilitare BitLocker su un computer senza un TPM, ti verrà chiesto di creare una password di avvio che viene utilizzata al posto del TPM. I passaggi seguenti sono necessari solo quando si abilita BitLocker su computer con TPM, che dispongono della maggior parte dei computer moderni.
Se hai una versione Home di Windows, non sarai in grado di utilizzare BitLocker. Potresti avere invece la funzionalità Device Encryption, ma funziona in modo diverso da BitLocker e non ti consente di fornire una chiave di avvio.
Passaggio 2: abilitare il PIN di avvio nell'editor Criteri di gruppo
Una volta abilitato BitLocker, dovrai fare di tutto per abilitare un PIN con esso. Ciò richiede una modifica delle impostazioni di Criteri di gruppo. Per aprire l'Editor criteri di gruppo, premere Windows + R, digitare “gpedit.msc” nella finestra di dialogo Esegui e premere Invio.
Vai a Configurazione computer> Modelli amministrativi> Componenti di Windows> Crittografia unità BitLocker> Unità del sistema operativo nella finestra Criteri di gruppo.
Fare doppio clic sull'opzione “Richiedi autenticazione aggiuntiva all'avvio” nel riquadro destro.
Seleziona “Abilitato” nella parte superiore della finestra qui. Quindi, fai clic sulla casella sotto “Configura PIN avvio TPM” e seleziona l'opzione “Richiedi PIN avvio con TPM”. Fai clic su “OK” per salvare le modifiche.
Passaggio 3: aggiungere un PIN all'unità
Ora puoi usare il manage-bde comando per aggiungere il PIN all'unità crittografata con BitLocker.
Per fare ciò, avviare una finestra del prompt dei comandi come amministratore. Su Windows 10 o 8, fai clic con il pulsante destro del mouse sul pulsante Start e seleziona “Prompt dei comandi (amministratore)”. Su Windows 7, trova il collegamento “Prompt dei comandi” nel menu Start, fai clic con il pulsante destro del mouse e seleziona “Esegui come amministratore”
Esegui il seguente comando. Il comando seguente funziona sull'unità C: quindi, se si desidera richiedere una chiave di avvio per un'altra unità, immettere la relativa lettera anziché c: .
manage-bde -protectors -add c: -TPMAndPIN
Ti verrà richiesto di inserire il PIN qui. Al prossimo avvio, ti verrà chiesto questo PIN.
Per verificare se è stato aggiunto il protettore TPMAndPIN, è possibile eseguire il comando seguente:
manage-bde -status
(La protezione della chiave “Password numerica” visualizzata qui è la chiave di recupero.)
Come modificare il PIN di BitLocker
Per modificare il PIN in futuro, aprire una finestra del prompt dei comandi come amministratore ed eseguire il comando seguente:
manage-bde -changepin c:
Devi digitare e confermare il tuo nuovo PIN prima di continuare.
Come rimuovere il requisito PIN
Se cambi idea e desideri smettere di usare il PIN in un secondo momento, puoi annullare questa modifica.
Innanzitutto, dovrai andare alla finestra Criteri di gruppo e modificare l'opzione su “Consenti PIN di avvio con TPM”. Non puoi lasciare l'opzione impostata su “Richiedi PIN di avvio con TPM” o Windows non ti consentirà di rimuovere il PIN.
Quindi, aprire una finestra del prompt dei comandi come amministratore ed eseguire il comando seguente:
manage-bde -protectors -add c: -TPM
Ciò sostituirà il requisito “TPMandPIN” con un requisito “TPM”, eliminando il PIN. L'unità BitLocker si sbloccherà automaticamente tramite il TPM del tuo computer all'avvio.
Per verificare che ciò sia stato completato correttamente, eseguire nuovamente il comando status:
manage-bde -status c:
Se dimentichi il PIN, dovrai fornire il codice di ripristino di BitLocker che avresti dovuto salvare in un posto sicuro quando hai abilitato BitLocker per l'unità di sistema.
