Se si crittografa l’unità di sistema di Windows con BitLocker, è possibile aggiungere un PIN per la protezione aggiuntiva.
Bisogna inserire il PIN ogni volta che si accende il PC, prima dell’avvio di Windows.
L’inserimento del Pre-Boot PIN previene che la chiave di criptatura venga caricata in memoria durante il processo di boot del sistema.
In questo modo proteggiamo la chiave da eventuali attacchi diretti alla memoria (DMA = Direct Memory Access) effettuabili su sistemi con hardware vulnerabile.
Innanzitutto verifichiamo che il BitLocker sia attivo
Andiamo in Control Panel -> System and Security -> Bitlocker Drive Encryption
Se vediamo una schermata come quella sovrastante dovrebbe essere attivo.
ABILITARE IL PIN NELLE GROUP POLICY EDITOR
A questo punto da Start lanciamo il comando gpedit.msc
Posizionarsi nel seguente percorso
Configurazione Computer -> Modelli Amministrativi -> Componenti di Windows -> Crittografia unità Bitlocker -> Unità del sistema operativo
Selezionare l’impostazione Richiedi Autenticazione aggiuntiva all’avvio
Abilitare l’impostazione e impostare la voce Richiedi PIN di avvio con il TPM come mostrato nell’immagine sovrastante
ABILITARE IL PIN SUL DRIVE
A questo punto dobbiamo aggiungere il PIN al nostro Drive con il comando manage-bde
Aprire una finestra di DOS con diritti amministrativi
Lanciare il seguente comando
|
1 |
manage-bde -protectors -add c: -TPMAndPIN |
Inserire il PIN per proteggere il volume quindi INVIO
Reinserire il PIN quindi INVIO
Per verificare che il PIN sia stato attivato sull’unità lanciare il comando
|
1 |
manage-bde -status |
Dovremmo vedere una schermata come quella sovrastante se è tutto ok
COME CAMBIARE IL PIN
Per cambiare il PIN basta aprire una schermata di DOS con diritti amministrativi e lanciare il comando
|
1 |
manage-bde -changepin c: |
Digitare il nuovo PIN e premere INVIO
Ridigitare il PIN quindi INVIO
Se è tutto ok dovremmo vedere una schermata come quella sovrastante
COME RIMUOVERE LA RICHIESTA DEL PIN
Per disattivare la richiesta del PIN come prima cosa dobbiamo disattivare l’impostazione dalle Group Policy Object
Impostiamo la voce come mostrato nell’immagine sovrastante (Consenti PIN di avvio con il TPM)
Apriamo una finestra di DOS con diritti amministrativi e lanciamo il comando
|
1 |
manage-bde -protectors -add c: -TPM |
Se è tutto corretto lanciando il comando
|
1 |
manage-bde -status c: |
In corrispondenza della voce Protezione con chiave dovremmo vedere solo l’opzione TPM
NOTA BENE: Se si dovesse dimenticare il codice PIN è necessario fornire il codice di ripristino BitLocker salvato o stampato in fase di Crittografia dell’unità.
