szyfrowanie TPM + PIN

Jak skutecznie zaszyfrowa─ç komputer funkcj─ů Bitlocker z modu┼éem TPM + PIN






Je┼Ťli szyfrowanie funkcj─ů Bitlocker z modu┼éem TPM i Pinem Windows nie jest dla nas wystarczaj─ůco bezpieczne, mo┼╝emy pokusi─ç si─Ö o w┼é─ůcznie PINU bezpo┼Ťrednio przy starcie modu┼éu TPM.


Co je┼Ťli w┼é─ůczymy modu┼é PIN+ TPM i wyskakuje nam komunikat:

Ustawienia zasad grupy opcji uruchamiania programu bitlocker powoduj─ů konflikt i nie mo┼╝na ich u┼╝y─ç. Skontaktuj si─Ö z administratorem systemu, aby uzyska─ç wi─Öcej informacji.


Rozwi─ůzanie wygl─ůda nast─Öpuj─ůco:

Start -> uruchom i wpisujemy gpedit.msc

konfiguracja komputer

szablony administracyjne

składniki systemu windows

szyfrowanie dysk├│w funkcj─ů Bitlocker

Dyski z systemem operacynym

Wymagaj dodatkowego uwierzytelnienia przy uruchamianiu


Wa┼╝ne jest by z po┼Ťr├│d wszystkich opcji wybra─ç tylko jedn─ů. W├│wczas nie b─Ödzie powodowa┼éo to konfliktu. Czyli wszystko wy┼é─ůczone i w┼é─ůczamy tylko jedn─ů opcj─Ö w tym przypadku tylko 

Wymagaj startowego kodu PIN z modu┼éem TPM 


Teraz mo┼╝esz zaszyfrowa─ç partycj─Ö systemow─ů i uka┼╝e si─Ö opcja z wyborem PINU.

Pami─Ötaj zapisa─ç sobie has┼éo odzyskiwania na jakim┼Ť no┼Ťniku zewn─Ötrznym, kt├│rego te┼╝ mo┼╝esz zaszyfrowa─ç np. ju┼╝ samym has┼éem.


Po wybraniu i zaszyfrowaniu dysku nasz komputer przy starcie wywo┼éa ekran do odblokowania PINem. Jest to o tyle bezpieczna metoda, i┼╝ PIN mo┼╝na wprowadzi─ç tylko z tego danego komputera. Nie mo┼╝na dysku prze┼éo┼╝y─ç do innego urz─ůdzenia, bo klucze przechowywane s─ů w module TPM. Prze┼éo┼╝enie modu┼éu TPM lub inna zmiana konfiguracji tak┼╝e uniemo┼╝liwi rozszyfrowanie. Jedyn─ů opcj─ů jak wspomnia┼éem na pocz─ůtku jest wprowadzenie PINu przy starcie systemu, dlatego zadbajmy o to by mia┼é troch─Ö wi─Öcej ni┼╝ 4 znaki. R├│wnie┼╝ w tym przypadku modu┼é TPM pomaga, bo po wpisaniu b┼é─Ödnie PINu kilkana┼Ťcie razy, czas do wklepywania nast─Öpnych kombinacji wyd┼éu┼╝a si─Ö.





How to successfully encrypt your computer with Bitlocker with TPM + PIN


What if we turn on the PIN + TPM module and the message pops up:


The Group Policy settings for Bitlocker startup options are in conflict and cannot be applied...



Solved:


Computer Configuration, select Administrative Templates, Windows Components, BitLocker Drive Encryption, then click on Operating System Drives.  Now on the right side of the screen, double-click "Require additional authentication at startup".



It is important to choose only one of all the options. Then it will not be a conflict. So everything turned off and we only enable one option in this case only Require a startup PIN with TPM module



Now you can encrypt the system partition and an option will appear with a PIN selection.


Remember to write down the recovery password on some external medium, which you can also encrypt, e.g. with the password itself.


After selecting and encrypting the drive, our computer will launch the PIN unlock screen at startup. This is a safe method because the PIN can only be entered from this computer. The disk cannot be moved to another device because the keys are stored in the TPM module. Repositioning the TPM or other reconfiguration will also prevent decryption. The only option, as I mentioned at the beginning, is to enter the PIN at startup, so let's make sure that it has a little more than 4 characters. Also in this case, the TPM module helps, because after entering the PIN incorrectly several times, the time to enter the next combinations is longer.








Komentarze