Comment activer un code PIN BitLocker de pré-démarrage sous Windows

Si vous cryptez votre lecteur système Windows avec BitLocker, vous pouvez ajouter un code PIN pour une sécurité supplémentaire. Vous devrez entrer le code PIN chaque fois que vous allumez votre PC, avant même que Windows ne démarre. Il s’agit d’un code confidentiel de connexion, que vous entrez après le démarrage de Windows.

Bientôt: Comment utiliser une clé USB pour déverrouiller un PC chiffré par BitLocker

Un code PIN de pré-démarrage empêche la clé de chiffrement d’être automatiquement chargée dans la mémoire système pendant le processus de démarrage, ce qui protège contre les attaques d’accès direct à la mémoire (DMA) sur les systèmes dont le matériel est vulnérable. Documentation de Microsoft explique cela plus en détail.

Étape 1: activer BitLocker (si vous ne l’avez pas déjà fait)

Bientôt: Comment configurer le chiffrement BitLocker sous Windows

Il s’agit d’une fonctionnalité BitLocker, vous devez donc utiliser le chiffrement BitLocker pour définir un code PIN de pré-démarrage. Ceci n’est disponible que sur les éditions Professionnel et Entreprise de Windows. Avant de pouvoir définir un code PIN, vous devez activer BitLocker pour votre lecteur système.

Notez que si vous faites tout votre possible pour activer BitLocker sur un ordinateur sans TPM, vous serez invité à créer un mot de passe de démarrage utilisé à la place du TPM. Les étapes ci-dessous ne sont nécessaires que lors de l’activation de BitLocker sur les ordinateurs dotés de TPM, que la plupart des ordinateurs modernes ont.

Si vous disposez d’une version familiale de Windows, vous ne pourrez pas utiliser BitLocker. Vous pouvez avoir la fonctionnalité de chiffrement de périphérique à la place, mais cela fonctionne différemment de BitLocker et ne vous permet pas de fournir une clé de démarrage.

Deuxième étape: activer le code PIN de démarrage dans l’éditeur de stratégie de groupe

Une fois que vous avez activé BitLocker, vous devrez faire tout votre possible pour activer un code PIN avec celui-ci. Cela nécessite une modification des paramètres de stratégie de groupe. Pour ouvrir l’éditeur de stratégie de groupe, appuyez sur Windows + R, tapez «gpedit.msc» dans la boîte de dialogue Exécuter et appuyez sur Entrée.

Dirigez-vous vers Configuration ordinateur> Modèles d’administration> Composants Windows> Chiffrement de lecteur BitLocker> Lecteurs du système d’exploitation dans la fenêtre Stratégie de groupe.

Double-cliquez sur l’option «Exiger une authentification supplémentaire au démarrage» dans le volet droit.

Sélectionnez «Activé» en haut de la fenêtre ici. Ensuite, cliquez sur la case sous «Configurer le code PIN de démarrage du TPM» et sélectionnez l’option «Exiger un code PIN de démarrage avec TPM». Cliquez sur «OK» pour enregistrer vos modifications.

En relation :  Comment bloquer les e-mails sur Gmail

Troisième étape: ajouter un code PIN à votre disque

Vous pouvez maintenant utiliser le manage-bde pour ajouter le code PIN à votre lecteur chiffré BitLocker.

Pour ce faire, lancez une fenêtre d’invite de commandes en tant qu’administrateur. Sous Windows 10 ou 8, cliquez avec le bouton droit sur le bouton Démarrer et sélectionnez «Invite de commandes (Admin)». Sous Windows 7, recherchez le raccourci “Invite de commandes” dans le menu Démarrer, cliquez dessus avec le bouton droit de la souris et sélectionnez “Exécuter en tant qu’administrateur”

Exécutez la commande suivante. La commande ci-dessous fonctionne sur votre lecteur C:, donc si vous souhaitez exiger une clé de démarrage pour un autre lecteur, entrez sa lettre de lecteur au lieu de c: .

manage-bde -protectors -add c: -TPMAndPIN

Vous serez invité à entrer votre code PIN ici. Au prochain démarrage, vous serez invité à saisir ce code PIN.

Pour vérifier si le protecteur TPMAndPIN a été ajouté, vous pouvez exécuter la commande suivante:

manage-bde -status

(Le protecteur de clé «Mot de passe numérique» affiché ici est votre clé de récupération.)

Comment modifier votre code PIN BitLocker

Pour modifier le code PIN à l’avenir, ouvrez une fenêtre d’invite de commandes en tant qu’administrateur et exécutez la commande suivante:

manage-bde -changepin c:

Vous devrez taper et confirmer votre nouveau code PIN avant de continuer.

Comment supprimer l’exigence de code PIN

Si vous changez d’avis et souhaitez arrêter d’utiliser le code PIN plus tard, vous pouvez annuler cette modification.

Tout d’abord, vous devrez vous diriger vers la fenêtre de stratégie de groupe et modifier l’option à «Autoriser le code PIN de démarrage avec TPM». Vous ne pouvez pas laisser l’option définie sur «Exiger un code PIN de démarrage avec TPM» ou Windows ne vous autorisera pas à supprimer le code PIN.

Ensuite, ouvrez une fenêtre d’invite de commandes en tant qu’administrateur et exécutez la commande suivante:

manage-bde -protectors -add c: -TPM

Cela remplacera l’exigence «TPMandPIN» par une exigence «TPM», supprimant le code PIN. Votre lecteur BitLocker se déverrouille automatiquement via le TPM de votre ordinateur lorsque vous démarrez.

Pour vérifier que cela s’est terminé avec succès, exécutez à nouveau la commande status:

manage-bde -status c:


Si vous oubliez le code PIN, vous devrez fournir le code de récupération BitLocker que vous auriez dû enregistrer dans un endroit sûr lorsque vous avez activé BitLocker pour votre lecteur système.

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.