Comment activer un code PIN BitLocker de pré-démarrage sous Windows
Si vous chiffrez votre lecteur système Windows avec BitLocker, vous pouvez ajouter un code PIN pour plus de sécurité. Vous devrez entrer le code PIN chaque fois que vous allumez votre PC, avant même que Windows ne démarre. Ce numéro est distinct du code PIN de connexion que vous entrez après le démarrage de Windows..
Un code confidentiel préalable au démarrage empêche le chargement automatique de la clé de chiffrement dans la mémoire système pendant le processus de démarrage, ce qui protège contre les attaques par accès direct à la mémoire (DMA) sur les systèmes comportant du matériel vulnérable. La documentation de Microsoft l'explique plus en détail.
Première étape: Activer BitLocker (si vous ne l'avez pas déjà)
Ceci est une fonctionnalité de BitLocker, vous devez donc utiliser le cryptage BitLocker pour définir un code PIN de pré-démarrage. Ceci est uniquement disponible sur les éditions Professional et Enterprise de Windows. Avant de pouvoir définir un code PIN, vous devez activer BitLocker pour votre lecteur système..
Notez que si vous vous efforcez d'activer BitLocker sur un ordinateur sans TPM, vous serez invité à créer un mot de passe de démarrage utilisé à la place du TPM. Les étapes ci-dessous ne sont nécessaires que lorsque vous activez BitLocker sur des ordinateurs dotés de TPM, comme le font la plupart des ordinateurs.
Si vous avez une version familiale de Windows, vous ne pourrez pas utiliser BitLocker. Vous pouvez avoir la fonctionnalité de chiffrement de périphérique à la place, mais cela fonctionne différemment de BitLocker et ne vous permet pas de fournir une clé de démarrage..
Étape 2: Activer le code PIN de démarrage dans l'éditeur de stratégie de groupe
Une fois que vous avez activé BitLocker, vous devez faire de votre mieux pour activer un code confidentiel avec celui-ci. Cela nécessite une modification des paramètres de stratégie de groupe. Pour ouvrir l'éditeur de stratégie de groupe, appuyez sur Windows + R, tapez «gpedit.msc» dans la boîte de dialogue Exécuter, puis appuyez sur Entrée..
Allez dans Configuration ordinateur> Modèles d'administration> Composants Windows> Cryptage de lecteur BitLocker> Lecteurs de système d'exploitation dans la fenêtre Stratégie de groupe..
Double-cliquez sur l'option «Requérir une authentification supplémentaire au démarrage» dans le volet de droite..
Sélectionnez «Activé» en haut de la fenêtre ici. Cliquez ensuite sur la case «Configurer le code PIN de démarrage du TPM» et sélectionnez l’option «Demander le code PIN de démarrage avec TPM». Cliquez sur «OK» pour enregistrer vos modifications..
Troisième étape: ajouter un code PIN à votre lecteur
Vous pouvez maintenant utiliser le gérer-bde
commande pour ajouter le code confidentiel à votre lecteur chiffré par BitLocker.
Pour ce faire, lancez une fenêtre d'invite de commande en tant qu'administrateur. Sous Windows 10 ou 8, cliquez avec le bouton droit de la souris sur le bouton Démarrer et sélectionnez «Invite de commandes (Admin)». Sous Windows 7, recherchez le raccourci «Invite de commandes» dans le menu Démarrer, cliquez dessus avec le bouton droit de la souris et sélectionnez «Exécuter en tant qu'administrateur».
Exécutez la commande suivante. La commande ci-dessous fonctionne sur votre lecteur C: si vous souhaitez demander une clé de démarrage pour un autre lecteur, entrez sa lettre de lecteur au lieu de c:
.
manage-bde -protectors -add c: -TPMAndPIN
Vous serez invité à entrer votre code PIN ici. La prochaine fois que vous démarrez, on vous demandera ce code PIN.
Pour vérifier si le protecteur TPMAndPIN a été ajouté, vous pouvez exécuter la commande suivante:
manage-bde -status
(Le protecteur de clé «Mot de passe numérique» affiché ici est votre clé de récupération.)
Comment changer votre code PIN BitLocker
Pour changer le code PIN ultérieurement, ouvrez une fenêtre d'invite de commande en tant qu'administrateur et exécutez la commande suivante:
manage-bde -changepin c:
Vous devrez taper et confirmer votre nouveau code PIN avant de continuer..
Comment supprimer le code PIN requis
Si vous changez d'avis et que vous souhaitez cesser d'utiliser le code PIN ultérieurement, vous pouvez annuler cette modification..
Tout d'abord, vous devez vous rendre dans la fenêtre Stratégie de groupe et rétablir l'option «Autoriser le code PIN de démarrage avec le TPM». Vous ne pouvez pas laisser l'option définie sur «Exiger un code PIN de démarrage avec TPM», sinon Windows ne vous autorisera pas à supprimer le code PIN..
Ensuite, ouvrez une fenêtre d'invite de commande en tant qu'administrateur et exécutez la commande suivante:
manage-bde -protectors -add c: -TPM
Cela remplacera l'exigence «TPMandPIN» par une exigence «TPM», à savoir la suppression du code PIN. Votre lecteur BitLocker sera automatiquement déverrouillé via le TPM de votre ordinateur lorsque vous démarrez..
Pour vérifier que cela s'est bien déroulé, exécutez à nouveau la commande status:
manage-bde -status c:
Si vous oubliez le code PIN, vous devez fournir le code de récupération BitLocker que vous auriez dû enregistrer dans un endroit sûr lorsque vous avez activé BitLocker pour votre lecteur système..