Usando o Editor de Política de Grupo para ativar a autenticação do BitLocker no ambiente de pré-inicialização do Windows 7/8/8.1/10

Sumário:

1. Como criar um prompt de segurança de pré-inicialização do BitLocker que exija um número de identificação pessoal (PIN)
2. Ativar o TPM
3. Habilitar o BitLocker
4. Editar a política de grupo
5. Usar o prompt de comando para criar um PIN
6. Etapas do Windows 10

Como criar um prompt de segurança de pré-inicialização do BitLocker que exija um número de identificação pessoal (PIN)

Como uma camada extra de segurança, um administrador pode optar por criar um prompt de segurança de pré-inicialização do BitLocker que exija um número de identificação pessoal (PIN). Este recurso está disponível no Windows 7 Enterprise e Ultimate, e no Windows 8 Enterprise e Ultimate. Ele só pode ser habilitado em sistemas com um chip Trusted Platform Module (TPM) — geralmente um sistema Latitude, OptiPlex ou Precision.

O processo abaixo é um procedimento avançado e só deve ser executado com o conhecimento do administrador do sistema. Os detalhes descritos são voltados para administradores de sistema.

Ativar o TPM

1. Use os recursos de segurança do BIOS do seu sistema para ativar o TPM.
2. Marque a opção de limpar o TPM, aplique as alterações e saia do BIOS.
3. Inicialize pelo BIOS novamente e use os recursos de segurança do BIOS do seu sistema para ativar o TPM.
4. Aplique as alterações e saia do BIOS.

Habilitar o BitLocker

1. Inicializar o Windows.
2. Use seu processo da Microsoft preferido para ativar o BitLocker e criptografar todo o disco que contém o sistema operacional.

Editar a política de grupo

1. Abra o Editor de Política de Grupo usando o “Executar…”, digitando “gpedit.msc” e clicando no botão “OK”.
2. Navegue até a Configuração do computador > Modelos administrativos > Componentes do Windows > Criptografia de unidade de disco BitLocker > Unidades do sistema operacional.
3. No painel direito, clique duas vezes em "Exigir autenticação adicional na inicialização" e uma caixa pop-up aparecerá.
4. Certifique-se de que a opção "Habilitado" esteja selecionada para que todas as outras opções abaixo estejam ativas.
5. Desmarque a opção "Permitir o BitLocker sem um TPM compatível".
6. Para a opção "Configurar a inicialização do TPM:", escolha "Permitir TPM".
7. Para a opção "Configurar PIN de inicialização do TPM:", escolha "Exigir PIN de inicialização com TPM".
8. Para a opção "Configurar chave de inicialização do TPM:", escolha "Permitir chave de inicialização com TPM".
9. Para a opção "Configurar chave e PIN de inicialização do TPM:", escolha "Permitir chave de inicialização e PIN com TPM".
10. Clique no botão “Aplicar” e, em seguida, no botão "OK" para salvar as alterações no Editor de Política de Grupo Local.

Usar o prompt de comando para criar um PIN

1. Abra uma janela de prompt de comando com privilégios elevados de direitos de administrador.
2. Excluindo as aspas, insira o comando "manage-bde -protectors -add c: -TPMAndPIN".
3. Você receberá uma solicitação para digitar o PIN. Digite um número de quatro a sete dígitos. O cursor não registrará os pressionamentos de tecla enquanto você digita os números.
4. Pressione a tecla Enter para salvar o PIN e o prompt solicitará que você redigite o PIN para confirmar. Pressione a tecla Enter novamente para salvar a confirmação do PIN.
5. Excluindo as aspas, insira o comando "manage-bde -status".
6. O status da Criptografia de unidade de disco BitLocker exibirá os "Protetores de chave:" como "Senha numérica” e "TPM e PIN".
7. Agora, sempre que o usuário inicializar o sistema, receberá um prompt de segurança de pré-inicialização do BitLocker exigindo que o PIN seja digitado para que o acesso ao sistema operacional seja concedido.

Etapas do Windows 10

O link a seguir contém etapas para o Windows 10:
Configurações da política de grupo do BitLocker