Cómo habilitar un PIN de BitLocker previo al arranque en Windows

Si cifra la unidad del sistema de Windows con BitLocker, puede agregar un código PIN para mayor seguridad. Deberá ingresar el código PIN cada vez que encienda su PC, incluso antes de que se inicie Windows. Este es un PIN de inicio de sesión, que ingresa después de iniciar Windows.

Pronto: Cómo utilizar una unidad flash USB para desbloquear una PC cifrada con BitLocker

Un código PIN previo al arranque evita que la clave de cifrado se cargue automáticamente en la memoria del sistema durante el proceso de arranque, lo que protege contra ataques de acceso directo a la memoria (DMA) en sistemas con hardware comprometido. vulnerable. Documentación de Microsoft explica esto con más detalle.

Paso 1: active BitLocker (si aún no lo ha hecho)

Pronto: Cómo configurar el cifrado de BitLocker en Windows

Esta es una función de BitLocker, por lo que debe usar el cifrado de BitLocker para establecer un PIN previo al inicio. Esto solo está disponible en las ediciones Professional y Enterprise de Windows. Antes de poder establecer un código PIN, debe activar BitLocker en la unidad del sistema.

Tenga en cuenta que si hace todo lo posible para habilitar BitLocker en una computadora sin un TPM, se le pedirá que cree una contraseña de inicio que se usa en lugar del TPM. Los pasos a continuación solo son necesarios para habilitar BitLocker en equipos con TPM, que tienen la mayoría de los equipos modernos.

Si tiene una versión doméstica de Windows, no podrá usar BitLocker. En su lugar, puede tener la función de cifrado del dispositivo, pero funciona de manera diferente a BitLocker y no le permite proporcionar una clave de inicio.

Paso dos: habilite el PIN de inicio en el Editor de políticas de grupo

Una vez que haya habilitado BitLocker, deberá hacer todo lo posible para activar un código PIN con él. Esto requiere un cambio en la configuración de la directiva de grupo. Para abrir el Editor de políticas de grupo, presione Windows + R, escriba “gpedit.msc” en el cuadro de diálogo Ejecutar y presione Entrar.

Dirígete a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Cifrado de unidad BitLocker> Unidades del sistema operativo en la ventana Política de grupo.

Haga doble clic en la opción “Requerir autenticación adicional al inicio” en el panel derecho.


Seleccione “Activado” en la parte superior de la ventana aquí. A continuación, haga clic en la casilla debajo de “Configurar PIN de inicio de TPM” y seleccione la opción “Requerir PIN de inicio con TPM”. Haga clic en “Aceptar” para guardar sus cambios.

En relación :  Cómo hacer que su PC con Windows 10, 8 o 7 se conecte automáticamente

Paso tres: agregue un código PIN a su unidad

Ahora puede usar el manage-bde para agregar el código PIN a su unidad encriptada BitLocker.

Para hacer esto, inicie una ventana de símbolo del sistema como administrador. En Windows 10 u 8, haga clic derecho en el botón Inicio y seleccione “Símbolo del sistema (Administrador)”. En Windows 7, busque el acceso directo “Símbolo del sistema” en el menú Inicio, haga clic derecho en él y seleccione “Ejecutar como administrador”

Ejecute el siguiente comando. El siguiente comando funciona en su unidad C :, por lo que si desea solicitar una clave de inicio para otra unidad, ingrese su letra de unidad en lugar de c: .

manage-bde -protectors -add c: -TPMAndPIN

Se le pedirá que ingrese su código PIN aquí. La próxima vez que inicie, se le pedirá que ingrese este código PIN.

Para verificar si se ha agregado el protector TPMAndPIN, puede ejecutar el siguiente comando:

manage-bde -status

(El protector de clave “Contraseña digital” que se muestra aquí es su clave de recuperación).

Cómo cambiar su PIN de BitLocker

Para cambiar el código PIN en el futuro, abra una ventana del símbolo del sistema como administrador y ejecute el siguiente comando:

manage-bde -changepin c:

Deberá ingresar y confirmar su nuevo código PIN antes de continuar.

Cómo eliminar el requisito del código PIN

Si cambia de opinión y desea dejar de usar el PIN más adelante, puede deshacer este cambio.

Primero, deberá dirigirse a la ventana Política de grupo y cambiar la opción a “Permitir PIN de inicio con TPM”. No puede dejar la opción configurada en “Requerir PIN de inicio con TPM” o Windows no le permitirá eliminar el PIN.

Luego abra una ventana del símbolo del sistema como administrador y ejecute el siguiente comando:

manage-bde -protectors -add c: -TPM

Esto reemplazará el requisito “TPMandPIN” con un requisito “TPM”, eliminando el código PIN. Su unidad BitLocker se desbloquea automáticamente a través del TPM de su computadora cuando inicia.

Para verificar que esto se completó correctamente, ejecute el comando de estado nuevamente:

manage-bde -status c:


Si olvida el código PIN, deberá proporcionar el código de recuperación de BitLocker que debería haber guardado en un lugar seguro cuando habilitó BitLocker para la unidad del sistema.

Moyens Staff
El personal de Moyens I/O lo ha motivado, brindándole consejos sobre tecnología, desarrollo personal, estilo de vida y estrategias que lo ayudarán.