无论是政府、企业,抑或是个人,都应该重视数据安全。Windows 是当今最流行的桌面操作系统,许多人的电脑上运行的都是 Windows。而 BitLocker,正是 Windows 上的数据保护伞。
一、BitLocker 简介
BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自 丢失、被盗或销毁不当 的计算机的数据被盗或泄露的威胁。
丢失或被盗计算机上的数据易遭到未经授权的访问的攻击,途径是运行软件攻击工具对其进行攻击或将该计算机的硬盘转移到其他计算机。 BitLocker 通过增强文件和系统保护,帮助减少未经授权的数据访问。 当受 BitLocker 保护的计算机被解除授权或回收时,BitLocker 还可帮助使数据不可访问。
BitLocker 是 Microsoft 的加密产品,因此,其他硬件厂商(例如:戴尔、联想、惠普、华硕等)不会存储和提供 Recovery 密钥,不能绕过 Microsoft BitLocker Recovery 密钥进入系统。因此,只有用户自己能够访问 BitLocker 保护中的数据。
二、BitLocker 系统要求
若要 BitLocker 使用 TPM 提供的系统完整性检查,计算机必须具有 TPM 1.2 或更高版本。 如果计算机没有 TPM,则启用 BitLocker 必须在可移动设备(如 U 盘)上保存启动密钥。
旧版(Lagacy 模式)和兼容性支持模块不支持 TPM 2.0 (CSM) BIOS 模式。 具有 TPM 2.0 的设备必须仅将其 BIOS 模式配置为本机 UEFI。 必须禁用旧版和 CSM 选项。 为了提高安全性,需启用安全启动(Secure Boot)功能。
什么是 CSM?
CSM 开启使得可以支持 UEFI 启动和非 UEFI 启动。 若是需要启动传统 MBR 设备,则需开启CSM。关闭 CSM 则变成纯 UEFI 启动,且完全支持安全启动。
BitLocker 支持哪个受信任的平台模块 (TPM)?
BitLocker 支持 TPM 版本 1.2 或更高版本。 对 TPM 2.0 的 BitLocker 支持需要设备的统一可扩展固件接口 (UEFI) 。
对于即将受 BitLocker 保护的计算机,建议的启动顺序是什么?
应将计算机的启动选项配置为在任何其他驱动器(如 CD/DVD 驱动器或 USB 驱动器)之前,先按启动顺序使用硬盘驱动器。 如果不是首先启动硬盘而且你通常是从硬盘中进行启动,则在启动过程中发现可移动媒体时,可能检测到或显示出启动顺序更改。启动顺序通常影响 BitLocker 验证的系统度量,并且启动顺序的更改将导致系统提示你需要 BitLocker 恢复密钥。 出于相同的原因,如果你有一台具有扩展坞的笔记本电脑,不管是在插接时还是在未插接时,都要确保首先启动的是硬盘驱动器。
三、开启/关闭 BitLocker
开启 BitLocker
在Windows搜索栏输入[管理 BitLocker]①,然后点选[打开]②。
在想要设定BitLocker加密的磁盘驱动器点击[开启 BitLocker]③。(以下我们以磁盘驱动器D为例)。
勾选[使用密码解锁驱动器]并输入想要使用的密码④,然后点选[下一步]⑤。如果有智能卡的话也可以选择使用智能卡来解除驱动器。
选择储存恢复密钥的方式⑥,然后点选[下一步]⑦。
恢复密钥是一个唯一的48位数字密码,当忘记所设定的密码时,可以通过恢复密钥来解锁。或是当Windows侦测到可能是未经授权并尝试存取数据的不安全状况时,就会要求 BitLocker 恢复密钥。
依据需求选择要加密的驱动器大小⑧,然后点选[下一步]⑨。
选择要使用的加密模式⑩,然后点选[下一步]⑪。
确认你所选择的加密设定是否正确,点选[开始加密]⑫将会执行加密驱动器。
加密完成,点选[关闭]⑬。
可以看到该驱动器多了一个锁头的图示,表示此驱动器受 BitLocker 加密保护。
如果为金色锁头,表示目前驱动器为锁定状态,您需要输入密码才可以存取驱动器资料。
**小提醒: 若您的驱动器为解锁状态,当电脑重新启动后,将会再次自动锁定驱动器。**
关闭 BitLocker
在Windows搜索栏输入[管理 BitLocker]①,然后点选[打开]②。
在你想要解除BitLocker加密的驱动器点击[关闭 BitLocker]③。
如果驱动器目前为锁定状态,需要先点选[解锁驱动器]并输入密码才可以关闭BitLocker。
确认是否要将驱动器解密,点选[关闭 BitLocker]④将会开始执行驱动器解密,驱动器将不再受保护。
四、设备加密
BitLocker 设备加密在多种设备上受支持,包括符合新型待机标准的设备以及运行 Windows 10 家庭版或 Windows 11 的设备。
关键硬件要求
| 固件/BIOS | •UEFI(统一可扩展固件接口) •启用 S0(现代待机)、禁用 S3(传统待机) •已启用 SecureBoot(安全启动) |
| TPM | •可信平台模块 (TPM) 2.0 版 |
| 存储 | •SSD(SATA 和 NVMe) •混合硬盘(带 NAND 高速缓存的 HDD) •磁盘(固态混合硬盘(Solid State Hybrid Drive)或SSD+HDD) |
检查硬件是否满足设备加密
在Windows搜索框输入[系统信息]①,然后点选[以管理员身份运行]②。
在系统信息窗口底部,寻找[设备加密支持]③。如果值显示为[满足先决条件]④,表示设备加密可以在设备上使用。如果无法使用,可以改用标准 BitLocker 加密。
开启设备加密
在Windows搜寻栏输入[设备加密设置]①,然后点选[打开]②。
部分设备默认已开启设备加密,若设备已使用 Microsoft 帐户登入,表示已完成此设备的加密。
如果未登入Microsoft帐户,请确认设备加密开启③,然后点选[登入]④。
进入信息设置后,点选[改用Microsoft账户登录]。
使用Microsoft帐户登录后,即可完成此设备的加密。
可以发现磁盘驱动器多了一个锁头的图标,表示此磁盘驱动器受设备加密保护。
关闭设备加密
在Windows 搜索栏输入[设备加密设置]①,然后点选[打开]②。
在设备加密页面,点击[关闭]③。
系统会提醒您是否需要关闭设备加密,点选[关闭]即可关闭设备加密④。
自动设备加密
大多数现代计算机在出厂时未加密,但遵循 Microsoft 的建议,支持自动设备加密。
完成 Windows 11 或 Windows 10 的全新安装并完成全新体验 (OOBE) 后,计算机即准备好进行首次使用。作为此准备的一部分,BitLocker 设备加密已在操作系统驱动器和固定数据驱动器上初始化。
自动设备加密步骤:
客户在开箱即用体验 (OOBE Win10/11系统解包过程) 完成并在系统上使用 Microsoft 帐户(例如将 Microsoft 帐户用于 Windows 登录,将 Microsoft 帐户添加为电子邮件、应用程序和工作/学校帐户,使用 Microsoft 帐户登录到 Microsoft Store 应用程序,使用 Microsoft 帐户兑换/激活 Microsoft Office 或其他 Microsoft 应用程序)后,会启动自动设备加密。
检查设备加密状态
以管理员身份打开 PowerShell 或终端窗口,并键入:
manage-bde -status (盘符)例: manage-bde -status “C:”
暂停/恢复设备加密
暂停设备加密:
Suspend-BitLocker -MountPoint "C:" -RebootCount 0此命令会暂停由 MountPoint 参数指定的 BitLocker 卷上的 BitLocker 加密。由于 RebootCount 参数值为 0,BitLocker 加密将保持挂起状态,直到运行 Resume-BitLocker 命令。
恢复设备加密:
Resume-BitLocker -MountPoint "C:"五、温馨提示
BitLocker 是数据保护的利器,但也可能遇到错误触发、秘钥丢失等麻烦,因此养成日常备份数据的好习惯远比单单加密数据更重要。
其次,在做任何涉及数据的操作前,建议提前备份好重要数据,以免操作失误导致的数据损失。
参考资料:
1.BitLocker – Windows security | Microsoft Learn
2.什么是BitLocker?BitLocker设备加密的硬件和软件要求有哪些?
3.[Windows 11/10] 设备加密与标准BitLocker加密
4.戴尔计算机上的自动 Windows 设备加密或 BitLocker | Dell 中国
