使用组策略编辑器在 Windows 7 / 8 / 8.1 / 10 的预启动环境中启用 BitLocker 身份验证

目录：

1. 如何创建需要个人识别码 (PIN) 的 BitLocker 预启动安全提示
2. 激活 TPM
3. 启用 BitLocker
4. 编辑组策略
5. 使用命令提示符创建 PIN
6. Windows 10 步骤

如何创建需要个人识别码 (PIN) 的 BitLocker 预启动安全提示

作为额外增加的一层安全性，管理员可以选择创建需要个人识别码 (PIN) 的 BitLocker 预启动安全提示。Windows 7 Enterprise 和 Ultimate 以及 Windows 8 Enterprise 和 Ultimate 中提供有此功能。它只能在具有可信平台模块 (TPM) 芯片的系统（通常是 Latitude、Optiplex 或 Precision 系统）上启用。

下面的过程是一个高级的过程，只有在具备系统管理员知识的情况下才能尝试。这些详细信息是针对系统管理员这类读者而编写的。

激活 TPM

1. 使用系统 BIOS 的安全功能来启用 TPM。
2. 选中复选框以清除 TPM，然后应用更改并退出 BIOS。
3. 再次启动至 BIOS，并使用系统 BIOS 的安全功能来激活 TPM。
4. 应用更改并退出 BIOS。

启用 BitLocker

1. 启动至 Windows。
2. 使用首选的 Microsoft 进程来启用 BitLocker，并对包含操作系统的整个磁盘进行加密。

编辑组策略

1. 使用“运行…”可执行文件，键入“gpedit.msc”并单击“确定”按钮，打开组策略编辑器。
2. 浏览到“计算机配置”>“管理模板”>“Windows 组件”>“BitLocker 驱动器加密”>“操作系统驱动器”。
3. 在右窗格中，双击“启动时需要附加身份验证”，将会打开一个弹出框。
4. 确保选择“已启用”选项，以便下面的所有其他选项都处于活动状态。
5. 取消选中“没有兼容的 TPM 时允许 BitLocker”复选框。
6. 对于“配置 TPM 启动：”的选项，请选择“允许 TPM”。
7. 对于“配置 TPM 启动 PIN：”的选项，请选择“有 TPM 时需要启动 PIN”。
8. 对于“配置 TPM 启动密钥：”的选项，请选择“有 TPM 时允许启动密钥”。
9. 对于“配置 TPM 启动密钥和 PIN：”的选项，请选择“有 TPM 时允许启动密钥和 PIN”。
10. 依次单击“应用”按钮和“确定”按钮，以保存本地组策略编辑器中的更改。

使用命令提示符创建 PIN

1. 使用管理员权限打开提升的命令提示符窗口。
2. 输入命令“manage-bde -protectors -add c: -TPMAndPIN”（不包括引号）。
3. 系统将提示您输入 PIN。输入介于四到七位数之间的数字。当您输入数字时，光标不会记录击键操作。
4. 按 Enter 键保存 PIN，系统将提示您再次输入该 PIN 进行确认。再次按 Enter 键以保存该 PIN 确认。
5. 输入命令“manage-bde -status”（不包括引号）。
6. BitLocker 驱动器加密状态将“密钥保护器：”显示为“数字密码”、“TPM 和 PIN”。
7. 现在，用户每次启动系统时，都会收到 BitLocker 预启动安全提示，要求在授予对操作系统的访问权限之前输入 PIN。

Windows 10 步骤

以下链接包含适用于 Windows 10 的步骤：
BitLocker 组策略设置