如果您使用BitLocker加密Windows系统驱动器，则可以添加PIN以提高安全性。你需要在每次打开电脑时输入PIN，然后Windows才能启动。这与您在Windows启动后输入的登录PIN是分开的。

相关：如何使用USB密钥解锁BitLocker加密的PC

预启动PIN可防止加密密钥在启动过程中自动加载到系统内存中，从而防止硬件易受攻击的系统受到直接内存访问(DMA)攻击。微软的文档对此进行了更详细的说明。

第一步：启用BitLocker(如果您尚未启用)

相关：如何在Windows上设置BitLocker加密

这是BitLocker功能，因此您必须使用BitLocker加密来设置预引导PIN。此功能仅在Windows专业版和企业版上可用。在设置PIN之前，您必须为系统驱动器启用BitLocker。

请注意，如果您特意在没有TPM的计算机上启用BitLocker，系统将提示您创建一个用于代替TPM的启动密码。只有在装有TPM的计算机上启用BitLocker时，才需要执行以下步骤，而大多数现代计算机都有TPM。

如果您使用的是Windows家庭版，您将无法使用BitLocker。您可能会转而使用设备加密功能，但这与BitLocker的工作方式不同，不允许您提供启动密钥。

第二步：在组策略编辑器中启用启动PIN

一旦启用了BitLocker，您就需要使用它来启用PIN。这需要更改组策略设置。要打开组策略编辑器，请按Windows+R，在运行对话框中键入“gpedit.msc”，然后按Enter。

在“组策略”窗口中转到“计算机配置”>“管理模板”>“Windows组件”>“BitLocker驱动器加密”>“操作系统驱动器”。

双击右窗格中的“启动时需要其他身份验证”选项。

在此处窗口顶部选择“Enabled”(启用)。然后，单击“Configure TPM and Startup PIN”(配置TPM和启动PIN)下的框，并选择“Required Startup PIN with TPM”(要求使用TPM启动PIN)选项。单击“确定”保存您的更改。

第三步：将PIN密码添加到您的驱动器

现在，您可以使用Manage-BDE命令将PIN添加到BitLocker加密驱动器。

为此，请以管理员身份启动命令提示符窗口。在Windows 10或8上，右键单击开始按钮，然后选择“命令提示符(管理员)”。在Windows 7中，在开始菜单中找到“命令提示符”快捷方式，右键单击它，然后选择“以管理员身份运行”

运行以下命令。下面的命令适用于您的C：驱动器，因此如果您想要另一个驱动器的启动密钥，请输入其驱动器号，而不是c：。

系统将提示您在此处输入PIN。下次启动时，系统会要求您提供此PIN。

要再次检查是否添加了TPMAndPIN保护器，可以直接运行以下命令：

(此处显示的“数字密码”密钥保护器是您的安全恢复密钥。)

如何更改您的BitLocker PIN

要在将来更改PIN，请以管理员身份打开命令提示符窗口，然后运行以下命令：

在继续之前，您需要键入并确认您的新PIN。

如何删除PIN要求

如果您改变主意并希望以后停止使用PIN，您可以撤消此更改。

首先，您需要转到“组策略”窗口，并将选项改回“允许使用TPM启动PIN”。您不能将该选项设置为“要求使用TPM启动PIN”，否则Windows将不允许您删除PIN。

接下来，以管理员身份打开命令提示符窗口，然后运行以下命令：

这将用“TPM”要求替换“TPMandPIN”要求，删除PIN。启动时，BitLocker驱动器将通过计算机的TPM自动解锁。

要检查此操作是否成功完成，请再次运行status命令：

如果您忘记了PIN，则需要提供在为系统驱动器启用BitLocker时本应保存在安全位置的BitLocker恢复代码。