Como habilitar um PIN de pré-inicialização do BitLocker no Windows

Se você criptografar a unidade do sistema Windows com o BitLocker , poderá adicionar um PIN para segurança adicional. Você precisará inserir o PIN sempre que ligar o PC, antes mesmo de o Windows iniciar. Isso é separado de um PIN de login , que você insere após a inicialização do Windows.

Um PIN de pré-inicialização evita que a chave de criptografia seja carregada automaticamente na memória do sistema durante o processo de inicialização, o que protege contra ataques de acesso direto à memória (DMA) em sistemas com hardware vulnerável a eles. A documentação da Microsoft  explica isso com mais detalhes.

Etapa um: habilite o BitLocker (se ainda não tiver feito isso)

Este é um recurso do BitLocker, então você deve usar a criptografia do BitLocker para definir um PIN de pré-inicialização. Isso está disponível apenas nas edições Professional e Enterprise do Windows. Antes de definir um PIN, você deve habilitar o BitLocker para a unidade do sistema .

Observe que, se você se esforçar para  habilitar o BitLocker em um computador sem um TPM , será solicitado a criar uma senha de inicialização que será usada em vez do TPM. As etapas a seguir são necessárias apenas ao habilitar o BitLocker em computadores com TPMs, que a  maioria dos computadores modernos possui .

Se você tiver uma versão Home do Windows, não poderá usar o BitLocker. Você pode ter o  recurso Criptografia de dispositivo em vez disso, mas isso funciona de maneira diferente do BitLocker e não permite que você forneça uma chave de inicialização.

Recomendado:  Como o "Alexa Guard" do seu Echo pode proteger sua casa

Etapa dois: habilitar o PIN de inicialização no Editor de política de grupo

Depois de habilitar o BitLocker, você precisará sair do seu caminho para habilitar um PIN com ele. Isso requer uma alteração nas configurações da Política de Grupo. Para abrir o Editor de Política de Grupo, pressione Windows + R, digite “gpedit.msc” na caixa de diálogo Executar e pressione Enter.

Vá para Configuração do computador> Modelos administrativos> Componentes do Windows> Criptografia de unidade BitLocker> Unidades do sistema operacional na janela Política de grupo.

Clique duas vezes na opção “Exigir autenticação adicional na inicialização” no painel direito.

Selecione “Ativado” na parte superior da janela aqui. Em seguida, clique na caixa em “Configurar PIN de inicialização do TPM” e selecione a opção “Exigir PIN de inicialização com TPM”. Clique em “OK” para salvar suas alterações.

Etapa três: adicionar um PIN ao seu disco

Agora você pode usar o manage-bdecomando para adicionar o PIN à sua unidade criptografada pelo BitLocker.

Para fazer isso, abra uma janela do Prompt de Comando como Administrador. No Windows 10 ou 8, clique com o botão direito do mouse no botão Iniciar e selecione “Prompt de Comando (Admin)”. No Windows 7, encontre o atalho “Prompt de Comando” no menu Iniciar, clique com o botão direito e selecione “Executar como Administrador”

Execute o seguinte comando. O comando a seguir funciona na sua unidade C :, portanto, se você quiser exigir uma chave de inicialização para outra unidade, digite a letra da unidade em vez de c:.

manage-bde -protectors -add c: -TPMAndPIN

Você será solicitado a inserir seu PIN aqui. Na próxima vez que você inicializar, esse PIN será solicitado.

Recomendado:  O que é software de código aberto e por que isso é importante?

Para verificar se o protetor TPMAndPIN foi adicionado, você pode executar o seguinte comando:

manage-bde -status

(O protetor de chave “Senha numérica” ​​exibido aqui é a sua chave de recuperação.)

Como alterar seu PIN do BitLocker

Para alterar o PIN no futuro, abra uma janela de Prompt de Comando como Administrador e execute o seguinte comando:

manage-bde -changepin c:

Você precisará digitar e confirmar seu novo PIN antes de continuar.

Como remover a exigência de PIN

Se mudar de ideia e quiser parar de usar o PIN posteriormente, você pode desfazer essa alteração.

Primeiro, você precisa ir para a janela Política de Grupo e alterar a opção de volta para “Permitir PIN de inicialização com TPM”. Você não pode deixar a opção definida como “Exigir PIN de inicialização com TPM” ou o Windows não permitirá que você remova o PIN.

Em seguida, abra uma janela de Prompt de Comando como Administrador e execute o seguinte comando:

manage-bde -protectors -add c: -TPM

Isso substituirá o requisito “TPMandPIN” por um requisito “TPM”, excluindo o PIN. Sua unidade BitLocker será desbloqueada automaticamente por meio do TPM do seu computador quando você inicializar.

To check that this completed successfully, run the status command again:

manage-bde -status c:


If you forget the PIN, you’ll need to provide the BitLocker recovery code you should have saved somewhere safe when you enabled BitLocker for your system drive.