启用BitLocker加密,Windows将在每次使用大多数现代计算机内置的TPM启动计算机时自动解锁驱动器。但你可以设置任何USB闪存驱动器作为“启动密钥”,在你的电脑解密驱动器和启动Windows之前,启动密钥必须存在。
这有效地为BitLocker加密添加了双因素身份验证。无论何时启动计算机,都需要在解密之前提供USB密钥。这将是特别有用的一个小的USB驱动器,你随身携带的钥匙链。
相关:如何在Windows上设置BitLocker加密
显然,这需要BitLocker驱动器加密,这意味着它只能在Windows的专业版和企业版上工作。在执行以下任何步骤之前,您需要从控制面板在系统驱动器上启用BitLocker加密。
如果您特意在没有TPM的PC上启用BitLocker,则可以选择创建USB启动密钥作为安装过程的一部分。这将代替TPM使用。以下步骤仅在具有TPM的计算机上启用BitLocker时才是必需的,而大多数现代计算机都具有TPM。
如果您有家庭版Windows,则无法使用BitLocker。您可以使用设备加密功能,但这与BitLocker的工作方式不同,不允许您提供启动密钥。
启用BitLocker后,需要在Windows的组策略中启用启动密钥要求。要打开组策略编辑器,请按键盘上的Windows+R,键入“gpedit.msc软件,然后按Enter键。
进入“组策略”窗口中的“计算机配置”>“管理模板”>“Windows组件”>“BitLocker驱动器加密”>“操作系统驱动器”。
双击右窗格中的“启动时需要附加身份验证”选项。
选择窗口顶部的“启用”。然后,单击“配置TPM启动密钥”下的框并选择“需要TPM启动密钥”选项。单击“确定”保存更改。
现在可以使用manage-bde命令为BitLocker加密驱动器配置USB驱动器。
首先,将USB驱动器**计算机。请注意下面的屏幕截图中USB驱动器的盘符–D:。Windows会将一个小的.bek文件保存到驱动器中,这样它就会成为您的启动密钥。
接下来,以管理员身份启动命令提示符窗口。在Windows 10或8上,右键单击“开始”按钮并选择“命令提示(管理)”。在Windows 7上,在“开始”菜单中找到“命令提示符”快捷方式,右键单击它,然后选择“以管理员身份运行”
运行以下命令。下面的命令适用于C:驱动器,因此如果您需要另一个驱动器的启动密钥,请输入其驱动器号,而不是C:。您还需要输入要用作启动密钥的已连接USB驱动器的驱动器号,而不是x:。
manage-bde -protectors -add c: -TPMAndStartupKey x:密钥将以.bek文件扩展名的隐藏文件形式保存到USB驱动器中。如果显示隐藏文件,则可以看到它。
下次启动计算机时,系统会要求您**USB驱动器。小心使用密钥–从您的USB驱动器复制密钥的人可以使用该副本解锁您的BitLocker加密驱动器。
要再次检查是否正确添加了TPMAndStartupKey保护器,可以运行以下命令:
manage-bde -status(此处显示的“数字密码”密钥保护器是您的恢复密钥。)
如果您改变主意,并且以后不再需要启动键,可以撤消此更改。首先,返回到组策略编辑器并将选项更改回“Allow Startup Key With TPM”。您不能将选项设置为“Require Startup Key With TPM”,否则Windows将不允许您从驱动器中删除启动密钥要求。
接下来,以管理员身份打开命令提示符窗口并运行以下命令(如果您使用的是其他驱动器,请再次替换c:):
manage-bde -protectors -add c: -TPM这将用“TPM”要求替换“TPM和StartupKey”要求,删除PIN。启动时,BitLocker驱动器将通过计算机的TPM自动解锁。
要检查此操作是否成功完成,请再次运行status命令:
manage-bde -status c:请尝试先重新启动计算机。如果所有的设备都正常工作,而且您的计算机不需要USB驱动器启动,您可以自由格式化驱动器或删除BEK文件。你也可以把它留在你的驱动器上——这个文件实际上不会再做任何事情了。
如果丢失启动密钥或从驱动器中删除.bek文件,则需要为系统驱动器提供BitLocker恢复代码。为系统驱动器启用BitLocker时,应该将其保存在安全的地方。
图片来源:托尼·奥斯汀/Flickr
... 微软推荐BitLocker作为系统密钥的替代品。但你有什么选择?我们来看看。 ...
...、最快的方法之一。Windows10内置了一个驱动器加密程序。BitLocker是一种可供Windows 10 Pro、企业和教育用户使用的全驱动器加密工具。 ...
BitLocker是Windows内置的加密技术,最近受到了一些欢迎。最近的一次攻击显示,移除了一台计算机的TPM芯片以提取其加密密钥,许多硬盘驱动器正在破坏BitLocker。以下是避免BitLocker陷阱的指南。 请注意,这些攻击都需要物理访问...
...s 7、8或10的专业版、企业版或教育版,则可以启用可选的BitLocker加密来保护您的设备。如果您使用的是这些更昂贵的Windows版本,并且已设置BitLocker,则假设您使用了强密码,则您的数据将是安全的。 您可以通过进入“控制面板...
...这些数据。 微软很早以前就在Windows中添加了一个名为“BitLocker”的磁盘加密功能,但是如果你使用Windows的家庭版,你就太倒霉了。当然,除非你愿意升级到专业版。 相关:如何在Windows10上启用全磁盘加密 只有WindowsProfessional包...
BitLocker是一个内置于Windows的工具,可以对整个硬盘进行加密以增强安全性。下面是如何设置它。 当TrueCrypt有争议地关闭商店时,他们建议他们的用户从TrueCrypt过渡到使用BitLocker或Veracrypt。BitLocker在Windows中已经存在了足够长的...
...密”,但其他PC需要您再支付99美元才能在Windows Pro上获得BitLocker进行全磁盘加密。如果您不愿意,您可以使用免费的开源VeraCrypt软件在任何版本的Windows上获得完整的磁盘加密。 相关:如何在Windows10上启用全磁盘加密 加密是确保...
BitLocker的全磁盘加密通常需要具有可信平台模块(TPM)的计算机。尝试在没有TPM的PC上启用BitLocker,您将被告知管理员必须设置系统策略选项。 BitLocker仅在Windows的专业版、企业版和教育版上可用。它也包含在Windows7Ultimate中,但...
...,您将在此处看到这样的消息。 适用于windows pro用户:bitlocker 相关:你应该升级到Windows10的专业版吗? 如果没有启用设备加密,或者如果您想要一个更强大的加密解决方案,也可以加密可移动USB驱动器,例如,您将希望使用Bit...
...新的名字继续进行:VeraCrypt。 相关:如何在Windows上设置BitLocker加密 使用VeraCrypt的动态系统,您可以创建一个加密的容器(甚至是一个完全加密的系统驱动器)。容器中的所有文件都是加密的,您可以使用VeraCrypt将其装载为普通...