如果使用BitLocker加密Windows系统驱动器，则可以添加PIN以提高安全性。每次打开电脑时，您都需要输入PIN码，然后Windows才能启动。这与登录PIN是分开的，登录PIN是在Windows启动后输入的。

相关：如何使用USB密钥解锁BitLocker加密的PC

预引导PIN可防止加密密钥在引导过程中自动加载到系统内存中，从而防止硬件易受攻击的系统受到直接内存访问（DMA）攻击。微软的文档对此进行了更详细的解释。

第一步：启用bitlocker（如果尚未启用）

相关：如何在Windows上设置BitLocker加密

这是BitLocker功能，因此必须使用BitLocker加密来设置预引导PIN。这仅在Windows的专业版和企业版上可用。在设置PIN之前，必须为系统驱动器启用BitLocker。

请注意，如果您特意在没有TPM的计算机上启用BitLocker，系统将提示您创建一个用于代替TPM的启动密码。以下步骤仅在具有TPM的计算机上启用BitLocker时才是必需的，而大多数现代计算机都具有TPM。

如果您有家庭版Windows，则无法使用BitLocker。您可以使用设备加密功能，但这与BitLocker的工作方式不同，不允许您提供启动密钥。

第二步：在组策略编辑器中启用启动pin

启用BitLocker后，您需要特意使用它启用PIN。这需要更改组策略设置。要打开组策略编辑器，请按Windows+R，键入“gpedit.msc软件，然后按Enter键。

进入“组策略”窗口中的“计算机配置”>“管理模板”>“Windows组件”>“BitLocker驱动器加密”>“操作系统驱动器”。

双击右窗格中的“启动时需要附加身份验证”选项。

选择窗口顶部的“启用”。然后，单击“配置TPM启动PIN”下的框，并选择“需要TPM启动PIN”选项。单击“确定”保存更改。

第三步：为驱动器添加pin

现在可以使用manage-bde命令将PIN添加到BitLocker加密驱动器。

为此，以管理员身份启动命令提示窗口。在Windows 10或8上，右键单击开始按钮，然后选择“命令提示符（管理）”。在Windows 7上，在“开始”菜单中找到“命令提示”快捷方式，右键单击该快捷方式，然后选择“以管理员身份运行”

运行以下命令。下面的命令适用于C:驱动器，因此如果您需要另一个驱动器的启动密钥，请输入其驱动器号，而不是C:。

系统将提示您在此处输入PIN。下次你开机的时候，会有人问你这个PIN。

要再次检查是否添加了TPMAndPIN保护器，可以运行以下命令：

（此处显示的“数字密码”密钥保护器是您的恢复密钥。）

如何更改bitlocker pin

要在将来更改PIN，请以管理员身份打开命令提示符窗口，然后运行以下命令：

在继续之前，您需要键入并确认新的PIN。

如何删除pin要求

如果您改变主意并希望以后停止使用PIN，可以撤消此更改。

首先，您需要转到“组策略”窗口，并将选项更改回“Allow Startup PIN With TPM”。您不能将选项设置为“Require Startup PIN With TPM”，否则Windows将不允许您删除该PIN。

接下来，以管理员身份打开命令提示符窗口并运行以下命令：

这将用“TPM”要求替换“TPM”要求，删除PIN。启动时，BitLocker驱动器将通过计算机的TPM自动解锁。

要检查此操作是否成功完成，请再次运行status命令：

如果忘记PIN，则需要提供在为系统驱动器启用BitLocker时应保存在安全位置的BitLocker恢复代码。