Если вы зашифровали раздел системного диска Windows 10 с помощью BitLocker без модуля TPM, то еще на этапе подготовки шифрования вам будет предложено разблокировать его паролем, который придется вводить каждый раз перед загрузкой системы.
Однако, если ваш ноутбук или компьютер оснащен модулем TPM, эта опция не будет предложена: диск будет успешно зашифрован, но пароль вводить не придется: ключи, необходимые для его разблокировки, будут храниться в соответствующем чипе на вашем устройстве. Если вы хотите изменить это поведение, вы можете сделать так, чтобы пароль (или, скорее, PIN-код, который может содержать не только цифры) запрашивался при каждом включении устройства в качестве дополнительной меры безопасности.
Включение запроса PIN-кода (пароля) для зашифрованного системного диска Windows 10
Прежде чем мы продолжим, помните, что лучше выполнить все следующие действия до начала шифрования. Вы можете сделать одно из следующих действий
- Если ваш системный диск уже зашифрован, сначала расшифруйте его. Можно щелкнуть правой кнопкой мыши на диске, в контекстном меню выбрать "Управление BitLocker", а затем "Отключить BitLocker", подтвердить расшифровку и дождаться завершения процесса. Затем перейдите к шагам 1-5, как описано ниже.
- Без расшифровки диска. Перед этим я настоятельно рекомендую сохранить ключ восстановления BitLocker в учетной записи Microsoft или в другом месте, это можно сделать, открыв контекстное меню на диске и выбрав "Управление BitLocker", а затем "Архивировать ключ восстановления". Затем выполните шаги 1-5, после чего запустите командную строку от имени администратора и введите команду
manage-bde -protectors -add c: -TPMAndPIN
В результате вам будет предложено задать PIN-код, который в дальнейшем будет запрашиваться при включении. Однако такой подход не всегда срабатывает, и даже если это удается, управление PIN-кодом в разделе управления BitLocker на диске может быть недоступно.
Сама процедура включения пароля (PIN-кода) при использовании TPM (Trusted Platform Module) будет состоять из следующих шагов:
- Нажмите клавиши Win+R на клавиатуре (клавиша Win — та, что с логотипом Windows) введите gpedit.msc и нажмите Enter, чтобы запустить редактор локальной групповой политики.
- В редакторе локальной групповой политики перейти в раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Шифрование дисков BitLocker — Диски операционной системы.
- Найдите параметр "Этот параметр политики позволяет настроить требование дополнительной аутентификации при запуске", дважды щелкните на нем и установите значение "Вкл.".
- Установите "Разрешить запуск по PIN-коду с помощью модуля доверенной платформы" в "Настроить запуск по PIN-коду с помощью модуля доверенной платформы", примените настройки.
- Если вы не хотите ограничиваться PIN-кодом из цифр, в том же разделе редактора локальной групповой политики включите параметр "Этот параметр политики позволяет разрешать расширенные PIN-коды при запуске компьютера" и примените его.
После выполнения всех описанных действий вы можете снова запустить шифрование диска BitLocker (щелкните правой кнопкой мыши на диске в Проводнике — включить BitLocker) и указать использование PIN-кода для расшифровки, или включить PIN-код после завершения шифрования: вы можете использовать управление BitLocker в контекстном меню диска и нажать на "Изменить метод разблокировки диска при загрузке", там же можно изменить PIN-код.
