Se si crittografa l’unità di sistema di Windows con BitLocker, è possibile aggiungere un PIN per la protezione aggiuntiva.
Bisogna inserire il PIN ogni volta che si accende il PC, prima dell’avvio di Windows.
L’inserimento del Pre-Boot PIN previene che la chiave di criptatura venga caricata in memoria durante il processo di boot del sistema.
In questo modo proteggiamo la chiave da eventuali attacchi diretti alla memoria (DMA = Direct Memory Access) effettuabili su sistemi con hardware vulnerabile.
Innanzitutto verifichiamo che il BitLocker sia attivo
Andiamo in Control Panel -> System and Security -> Bitlocker Drive Encryption
Se vediamo una schermata come quella sovrastante dovrebbe essere attivo.
ABILITARE IL PIN NELLE GROUP POLICY EDITOR
A questo punto da Start lanciamo il comando gpedit.msc
Posizionarsi nel seguente percorso
Configurazione Computer -> Modelli Amministrativi -> Componenti di Windows -> Crittografia unità Bitlocker -> Unità del sistema operativo
Selezionare l’impostazione Richiedi Autenticazione aggiuntiva all’avvio
Abilitare l’impostazione e impostare la voce Richiedi PIN di avvio con il TPM come mostrato nell’immagine sovrastante
ABILITARE IL PIN SUL DRIVE
A questo punto dobbiamo aggiungere il PIN al nostro Drive con il comando manage-bde
Aprire una finestra di DOS con diritti amministrativi
Lanciare il seguente comando
|
0 |
manage-bde -protectors -add c: -TPMAndPIN
|
Inserire il PIN per proteggere il volume quindi INVIO
Reinserire il PIN quindi INVIO
Per verificare che il PIN sia stato attivato sull’unità lanciare il comando
|
0 |
manage-bde -status
|
Dovremmo vedere una schermata come quella sovrastante se è tutto ok
COME CAMBIARE IL PIN
Per cambiare il PIN basta aprire una schermata di DOS con diritti amministrativi e lanciare il comando
|
0 |
manage-bde -changepin c:
|
Digitare il nuovo PIN e premere INVIO
Ridigitare il PIN quindi INVIO
Se è tutto ok dovremmo vedere una schermata come quella sovrastante
COME RIMUOVERE LA RICHIESTA DEL PIN
Per disattivare la richiesta del PIN come prima cosa dobbiamo disattivare l’impostazione dalle Group Policy Object
Impostiamo la voce come mostrato nell’immagine sovrastante (Consenti PIN di avvio con il TPM)
Apriamo una finestra di DOS con diritti amministrativi e lanciamo il comando
|
0 |
manage-bde -protectors -add c: -TPM
|
Se è tutto corretto lanciando il comando
|
0 |
manage-bde -status c:
|
In corrispondenza della voce Protezione con chiave dovremmo vedere solo l’opzione TPM
NOTA BENE: Se si dovesse dimenticare il codice PIN è necessario fornire il codice di ripristino BitLocker salvato o stampato in fase di Crittografia dell’unità.
Sono Raffaele Chiatto, un appassionato di informatica a 360°…
Mi sono avvicinato al mondo dell’informatica nel lontano 1996 con Windows 95 e da allora non ho più smesso di dedicarmi allo studio ed approfondimento di questo settore.
Laureato in Ingegneria Informatica nel 2009, lavoro nel campo dell’IT dal lontano 2001.
Probabilmente è disattivata l’opzione TPM e PIN. Ti consiglio di dare un occhio a questo thred Microsoft che ti spiega cosa fare in questi casi.
https://social.technet.microsoft.com/Forums/en-US/c3b5e90d-89fd-4e95-af97-723b045eb41b/getting-bitlocker-to-enable-tpmandpin?forum=w7itprosecurity
Io seguendo la procedura ho errore 0x80310060 come posso risolvere?
Le può proteggere senza problemi e dopo aver messo il PIN vengono sbloccate tutte in automatico. Saluti
Bell’articolo, complimenti! Di tanto in tanto, quando devo proteggere la mia privacy nel computer e cerco in rete, questo è sempre il primo sito che mi propone Google e che io per primo cerco e apro volentieri sul browser web. Ho una domanda per gli altri drive: Il PIN viene attivato soltanto sulla prima partizione mi pare di capire. Cosa succede se voglio proteggere anche le altre partizioni? il Pin su “C” sottintende anche altre partizioni, o ci sono altre procedure in essere? Ringraziando dell’attenzione porgo un cordiale saluto.