Cómo habilitar un PIN de BitLocker previo al inicio en Windows
Si cifra su unidad de sistema de Windows con BitLocker, puede agregar un PIN para mayor seguridad. Deberá ingresar el PIN cada vez que encienda su PC, antes de que Windows se inicie. Esto es independiente de un PIN de inicio de sesión, que se ingresa después de que Windows se inicie.
Un PIN previo al inicio evita que la clave de cifrado se cargue automáticamente en la memoria del sistema durante el proceso de inicio, lo que protege contra ataques de acceso directo a la memoria (DMA) en sistemas con hardware vulnerable. La documentación de Microsoft explica esto con más detalle..
Paso uno: habilitar BitLocker (si aún no lo has hecho)
Esta es una característica de BitLocker, por lo que tiene que usar el cifrado de BitLocker para establecer un PIN de arranque previo. Esto solo está disponible en las ediciones Professional y Enterprise de Windows. Antes de poder establecer un PIN, debe habilitar BitLocker para la unidad del sistema..
Tenga en cuenta que, si se esfuerza por habilitar BitLocker en una computadora sin un TPM, se le solicitará que cree una contraseña de inicio que se use en lugar del TPM. Los siguientes pasos solo son necesarios al habilitar BitLocker en computadoras con TPM, que la mayoría de las computadoras modernas tienen.
Si tiene una versión Home de Windows, no podrá usar BitLocker. Es posible que tenga la función de cifrado de dispositivo en su lugar, pero esto funciona de manera diferente a BitLocker y no le permite proporcionar una clave de inicio.
Paso dos: habilitar el PIN de inicio en el editor de políticas de grupo
Una vez que haya habilitado BitLocker, tendrá que hacer todo lo posible para habilitar un PIN con él. Esto requiere un cambio de configuración de directiva de grupo. Para abrir el Editor de políticas de grupo, presione Windows + R, escriba "gpedit.msc" en el cuadro de diálogo Ejecutar y presione Entrar.
Configuración de la computadora a la computadora> Plantillas administrativas> Componentes de Windows> Cifrado de unidad BitLocker> Unidades del sistema operativo en la ventana Directiva de grupo.
Haga doble clic en la opción "Requerir autenticación adicional al inicio" en el panel derecho.
Seleccione "Habilitado" en la parte superior de la ventana aquí. Luego, haga clic en el cuadro bajo "Configurar PIN de inicio de TPM" y seleccione la opción "Requerir PIN de inicio con TPM". Haga clic en "Aceptar" para guardar sus cambios.
Paso tres: agrega un PIN a tu disco
Ahora puedes usar el administrar-bde
comando para agregar el PIN a su unidad cifrada con BitLocker.
Para hacer esto, inicie una ventana del símbolo del sistema como administrador. En Windows 10 u 8, haga clic con el botón derecho en el botón Inicio y seleccione "Símbolo del sistema (Admin)". En Windows 7, busque el acceso directo "Símbolo del sistema" en el menú Inicio, haga clic derecho y seleccione "Ejecutar como administrador"
Ejecute el siguiente comando. El siguiente comando funciona en su unidad C :, por lo que si desea solicitar una clave de inicio para otra unidad, ingrese su letra de unidad en lugar de do:
.
administrar-bde -protectores -add c: -TPMAndPIN
Se le pedirá que ingrese su PIN aquí. La próxima vez que arranque, se le pedirá este PIN.
Para volver a verificar si se agregó el protector TPMAndPIN, puede ejecutar el siguiente comando:
administrar-bde -estatus
(El protector de clave de "Contraseña numérica" que se muestra aquí es su clave de recuperación).
Cómo cambiar tu PIN de BitLocker
Para cambiar el PIN en el futuro, abra una ventana del símbolo del sistema como Administrador y ejecute el siguiente comando:
administrar-bde -changepin c:
Deberá escribir y confirmar su nuevo PIN antes de continuar.
Cómo eliminar el requisito de PIN
Si cambia de opinión y desea dejar de usar el PIN más tarde, puede deshacer este cambio.
Primero, deberá dirigirse a la ventana Política de grupo y volver a cambiar la opción a "Permitir PIN de inicio con TPM". No puede dejar la opción establecida en "Requerir PIN de inicio con TPM" o Windows no le permitirá eliminar el PIN.
A continuación, abra una ventana del símbolo del sistema como Administrador y ejecute el siguiente comando:
administrar-bde -protectores -add c: -TPM
Esto reemplazará el requisito de "TPMandPIN" con un requisito de "TPM", eliminando el PIN. Su unidad BitLocker se desbloqueará automáticamente a través del TPM de su computadora cuando arranque.
Para verificar que esto se haya completado correctamente, ejecute el comando de estado nuevamente
manage-bde -status c:
Si olvida el PIN, deberá proporcionar el código de recuperación de BitLocker que debería haber guardado en un lugar seguro cuando habilitó BitLocker para la unidad del sistema..