PIN pra-boot mencegah kunci enkripsi dari secara otomatis dimuat ke dalam memori sistem selama proses boot, yang melindungi terhadap serangan akses memori langsung (DMA) pada sistem dengan perangkat keras yang rentan terhadapnya. Dokumentasi Microsoft menjelaskan ini secara lebih rinci.
Langkah Pertama: Aktifkan BitLocker (Jika Anda Tidak Sudah)
Perhatikan bahwa, jika Anda keluar dari cara Anda mengaktifkan BitLocker di komputer tanpa TPM, Anda akan diminta untuk membuat kata sandi startup yang digunakan alih-alih TPM. Langkah-langkah di bawah ini hanya diperlukan saat mengaktifkan BitLocker di komputer dengan TPM, yang dimiliki komputer modern.
Jika Anda memiliki versi Rumah Windows, Anda tidak akan dapat menggunakan BitLocker. Anda mungkin memiliki fitur Enkripsi Perangkat sebagai gantinya, tetapi ini berfungsi secara berbeda dari BitLocker dan tidak memungkinkan Anda memberikan kunci startup.
Langkah Kedua: Aktifkan PIN Startup di Editor Kebijakan Grup
Setelah Anda mengaktifkan BitLocker, Anda harus keluar dari jalan untuk mengaktifkan PIN dengannya. Ini membutuhkan perubahan pengaturan Kebijakan Grup. Untuk membuka Editor Kebijakan Grup, tekan Windows + R, ketik "gpedit.msc" ke dalam dialog Run, dan tekan Enter.
Buka Konfigurasi Komputer> Template Administratif> Komponen Windows> Enkripsi Drive BitLocker> Drive Sistem Pengoperasian di jendela Kebijakan Grup.
Klik dua kali Opsi "Wajib Otentikasi Tambahan saat Startup" di panel kanan.
Langkah Tiga: Tambahkan PIN ke Drive Anda
Anda sekarang dapat menggunakan
manage-bde
perintah untuk menambahkan PIN ke drive yang dienkripsi BitLocker Anda.
Untuk melakukan ini, jalankan jendela Command Prompt sebagai Administrator. Pada Windows 10 atau 8, klik kanan tombol Start dan pilih "Command Prompt (Admin)". Pada Windows 7, temukan pintasan "Command Prompt" di menu Start, klik kanan, dan pilih "Run as Administrator"
Jalankan perintah berikut. Perintah di bawah berfungsi pada drive C: Anda, jadi jika Anda ingin meminta kunci startup untuk drive lain, masukkan huruf drivenya sebagai ganti
c:
manage-bde -protectors -add c: -TPMAndPIN
Anda akan diminta memasukkan PIN Anda di sini. Saat berikutnya Anda boot, Anda akan diminta untuk PIN ini.
manage-bde -status
(Kunci pengaman "Numerical Password" yang ditampilkan di sini adalah kunci pemulihan Anda.)
Cara Mengubah PIN BitLocker Anda
Untuk mengubah PIN di masa depan, buka jendela Command Prompt sebagai Administrator dan jalankan perintah berikut:
manage-bde -changepin c:
Anda harus mengetik dan mengkonfirmasi PIN baru Anda sebelum melanjutkan.
Cara Menghapus Persyaratan PIN
Jika Anda berubah pikiran dan ingin berhenti menggunakan PIN nanti, Anda dapat membatalkan perubahan ini.
Pertama, Anda harus menuju ke jendela Kebijakan Grup dan mengubah opsi kembali ke "Izinkan PIN Startup Dengan TPM". Anda tidak dapat membiarkan opsi disetel ke “Wajibkan PIN Startup Dengan TPM” atau Windows tidak akan mengizinkan Anda untuk menghapus PIN.
manage-bde -protectors -add c: -TPM
Ini akan menggantikan persyaratan "TPMandPIN" dengan persyaratan "TPM", menghapus PIN. Drive BitLocker Anda akan secara otomatis membuka kunci melalui TPM komputer Anda ketika Anda boot.
manage-bde -status c:
Jika Anda lupa PIN, Anda harus memberikan kode pemulihan BitLocker yang seharusnya Anda simpan di tempat yang aman ketika Anda mengaktifkan BitLocker untuk drive sistem Anda.
