添加 TPM 启动 PIN（用于 BitLocker）

Question

添加 TPM 启动 PIN（用于 BitLocker）

此方法很简单，但需要大约 3 分钟。您可以在初始设置 BitLocker 后在 Windows 10 上添加 BitLocker 启动时 PIN 保护，步骤如下：

打开本地组策略编辑器，通过搜索本地组策略在 Windows 10 搜索栏中或通过控制面板。
在里面本地组策略编辑器，导航：

计算机配置 -> 管理模板 -> Windows 组件 -> BitLocker 驱动器加密 -> 操作系统驱动器

打开名为“启动时需要额外的身份验证“。

在 ”启动时需要额外的身份验证“，改变 ”未配置“ 到 ”已启用“。还要确保”允许使用 TPM 进行启动 PIN“ 已在 ” 下选定配置 TPM 启动 PIN“。

按好的和重新开始系统
Windows 10 重新启动后，搜索“管理 BitLocker”在 Windows 10 搜索栏中搜索。现在您将看到一个额外的选项，用于更改启动时驱动器的解锁方式，设置或更改 PIN。

（已在 Windows 10 Pro - 版本 1909 和 21H1 上验证）

为什么没有易于使用的选项？

在 Windows 10 的最新版本中，默认行为是将解密密钥存储在 TPM 中。加密过程最终对大多数用户都是透明的。同时，提供的保护将阻止恶意行为者将驱动器从系统中取出并尝试在其他地方访问其数据。对于系统内保护，操作系统默认依赖于 Windows 10 用户登录界面和其他帐户管理保护。部分假设是恶意行为者很可能没有系统的管理员访问权限，如果他们有，他们可能已经通过了驱动器解密。考虑到漏洞利用风险，启动时 PIN 在许多情况下提供的保护可能无法弥补不便。但是，在某些情况下，除了 TPM 之外，使用 PIN 也是合理的。

Answer 1

添加 TPM 启动 PIN（用于 BitLocker）

此方法很简单，但需要大约 3 分钟。您可以在初始设置 BitLocker 后在 Windows 10 上添加 BitLocker 启动时 PIN 保护，步骤如下：

打开本地组策略编辑器，通过搜索本地组策略在 Windows 10 搜索栏中或通过控制面板。
在里面本地组策略编辑器，导航：

计算机配置 -> 管理模板 -> Windows 组件 -> BitLocker 驱动器加密 -> 操作系统驱动器

打开名为“启动时需要额外的身份验证“。

在 ”启动时需要额外的身份验证“，改变 ”未配置“ 到 ”已启用“。还要确保”允许使用 TPM 进行启动 PIN“ 已在 ” 下选定配置 TPM 启动 PIN“。

按好的和重新开始系统
Windows 10 重新启动后，搜索“管理 BitLocker”在 Windows 10 搜索栏中搜索。现在您将看到一个额外的选项，用于更改启动时驱动器的解锁方式，设置或更改 PIN。

（已在 Windows 10 Pro - 版本 1909 和 21H1 上验证）

为什么没有易于使用的选项？

在 Windows 10 的最新版本中，默认行为是将解密密钥存储在 TPM 中。加密过程最终对大多数用户都是透明的。同时，提供的保护将阻止恶意行为者将驱动器从系统中取出并尝试在其他地方访问其数据。对于系统内保护，操作系统默认依赖于 Windows 10 用户登录界面和其他帐户管理保护。部分假设是恶意行为者很可能没有系统的管理员访问权限，如果他们有，他们可能已经通过了驱动器解密。考虑到漏洞利用风险，启动时 PIN 在许多情况下提供的保护可能无法弥补不便。但是，在某些情况下，除了 TPM 之外，使用 PIN 也是合理的。

添加 TPM 启动 PIN（用于 BitLocker）

答案1

添加 TPM 启动 PIN（用于 BitLocker）

相关内容