Использование редактора групповой политики BitLocker для включения проверки подлинности в предзагрузочной среде Windows 7 / 8 / 8.1 / 10

Содержание:

1. Как создать запрос безопасности перед загрузкой BitLocker для ввода PIN-кода
2. Активация TPM
3. Активация службы BitLocker
4. Изменение групповой политики
5. Использование командной строки для создания PIN-кода
6. Действия для Windows 10

Как создать запрос безопасности перед загрузкой BitLocker для ввода PIN-кода

В качестве дополнительного уровня безопасности администратор может создать запрос безопасности перед загрузкой BitLocker, требующий ввода PIN-кода. Эта функция доступна в версиях Windows 7 Корпоративная и Максимальная, а также в версиях Windows 8 Корпоративная и Максимальная. Ее можно включить только в системах, оборудованных микросхемой TPM, обычно это компьютер Latitude, Optiplex или Precision.

Описанный ниже процесс является расширенной процедурой, которая должна выполняться только с разрешения системного администратора. Подробные сведения ниже предназначены для системного администратора.

Активация TPM

1. При помощи функций безопасности BIOS компьютера включите TPM.
2. Для очистки TPM установите рядом флажок, сохраните изменения и выйдите из BIOS.
3. Войдите в BIOS и используйте функции безопасности BIOS для активации TPM.
4. Сохраните изменения и выйдите из BIOS.

Активация службы BitLocker

1. Выполните загрузку Windows.
2. Используйте предпочтительный процесс Microsoft, чтобы включить BitLocker и выполнить шифрование всего диска, на котором установлена операционная система.

Изменение групповой политики

1. Откройте редактор групповой политики. Для этого запустите исполняемый файл «Run…», введите «gpedit.msc» и нажмите кнопку «OK».
2. Перейдите в раздел «Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы».
3. На правой панели дважды нажмите «Требовать дополнительную проверку подлинности при запуске». Появится всплывающее окно.
4. Убедитесь, что выбран параметр «Включено», чтобы все остальные параметры, перечисленные ниже, были активны.
5. Снимите флажок «Разрешить BitLocker без совместимого TPM».
6. Если выбран вариант «Настройка запуска доверенного платформенного модуля», выберите «Разрешить доверенный платформенный модуль».
7. Если выбран вариант «Настройка PIN-кода запуска доверенного платформенного модуля», выберите «Требовать PIN-код запуска с доверенным платформенным модулем».
8. Если выбран вариант «Настройка ключа запуска доверенного платформенного модуля», выберите «Разрешить ключ запуска с доверенным платформенным модулем».
9. Если выбран вариант «Настройка ключа запуска доверенного платформенного модуля и PIN-кода», выберите «Разрешить ключ запуска и PIN-код с доверенным платформенным модулем».
10. Нажмите «Применить», а затем «OK», чтобы сохранить изменения в редакторе локальной групповой политики.

Использование командной строки для создания PIN-кода

1. Откройте окно командной строки с повышенными правами администратора.
2. Введите команду «manage-bde -protectors -add c: -TPMAndPIN» (без кавычек).
3. Вам будет предложено ввести PIN-код. Введите число, состоящее из 4–7 цифр. Курсор не будет регистрировать нажатия клавиш при вводе номера.
4. Нажмите ENTER, чтобы сохранить PIN-код. Вам предложат ввести PIN-код еще раз для подтверждения. Нажмите ENTER еще раз, чтобы сохранить PIN-код.
5. Введите команду «manage-bde -status» (без кавычек).
6. Статус шифрования диска BitLocker будет отображаться в разделе «Предохранители ключа», а именно в разделах «Числовой пароль», «Доверенный платформенный модуль и PIN-код».
7. Теперь каждый раз при загрузке системы пользователь будет получать запрос безопасности перед загрузкой BitLocker с требованием ввести PIN-код перед предоставлением доступа к операционной системе.

Действия для Windows 10

По этой ссылке можно посмотреть действия для Windows 10:
Параметры групповой политики BitLocker