如何在Windows上设置BitLocker加密
BitLocker是Windows内置的工具,可让您加密整个硬盘驱动器以增强安全性。设置方法如下。
当TrueCrypt有争议的关闭商店时,他们建议用户从TrueCrypt过渡到使用BitLocker或Veracrypt。 BitLocker在Windows中已经存在足够长的时间了,可以认为它已经成熟,并且是安全专家普遍认可的加密产品。在本文中,我们将讨论如何在PC上进行设置。
有关的:您是否应该升级到Windows 10专业版?
笔记:BitLocker驱动器加密和BitLocker To Go需要Windows 8或10的专业版或企业版,或Windows 7的旗舰版。但是,从Windows 8.1开始,Windows的Home和Pro版本包括“设备加密”功能( Windows 10中也包含的功能),其功能类似。如果您的计算机支持设备加密,则建议使用设备加密;对于不能使用设备加密的Pro用户,请使用BitLocker;对于使用无法使用设备加密的Windows主版的用户,建议使用VeraCrypt。
加密整个驱动器还是创建加密的容器?
那里有许多指南谈到创建BitLocker容器,该容器的工作方式与可以使用TrueCrypt或Veracrypt之类的产品创建的加密容器一样。这有点用词不当,但是您可以达到类似的效果。 BitLocker通过加密整个驱动器来工作。可能是系统驱动器,其他物理驱动器或文件形式存在并安装在Windows中的虚拟硬盘(VHD)。
有关的:如何在Windows上使用BitLocker创建加密的容器文件
区别主要是语义上的。在其他加密产品中,通常会创建一个加密的容器,然后在需要使用它时将其作为驱动器安装在Windows中。使用BitLocker,您可以创建一个虚拟硬盘驱动器,然后对其进行加密。如果您想使用容器而不是对现有系统或存储驱动器进行加密,请查阅我们的使用BitLocker创建加密容器文件的指南。
在本文中,我们将集中精力为现有的物理驱动器启用BitLocker。
如何使用BitLocker加密驱动器
有关的:如何在没有受信任的平台模块(TPM)的情况下使用BitLocker
要将BitLocker用于驱动器,您真正要做的就是启用它,选择一种解锁方法(密码,PIN等),然后设置一些其他选项。但是,在进行此操作之前,您应该知道在服务器上使用BitLocker的全盘加密 系统驱动 通常需要一台在您的PC主板上带有可信平台模块(TPM)的计算机。该芯片生成并存储BitLocker使用的加密密钥。如果您的PC没有TPM,则可以使用组策略启用不带TPM的BitLocker。它的安全性稍差一些,但比根本不使用加密的安全性更高。
您可以在没有TPM且无需启用组策略设置的情况下加密非系统驱动器或可移动驱动器。
关于这一点,您还应该知道可以启用两种类型的BitLocker驱动器加密:
- BitLocker驱动器加密注意:有时称为BitLocker,这是一种“全盘加密”功能,可以对整个驱动器进行加密。当您的PC引导时,Windows引导加载程序将从“系统保留”分区加载,并且引导加载程序提示您输入解锁方法(例如,密码)。然后,BitLocker解密驱动器并加载Windows。加密是透明的-您的文件看起来像在未加密的系统上通常一样,但是以加密形式存储在磁盘上。您还可以加密除系统驱动器以外的其他驱动器。
- BitLocker要去:您可以使用BitLocker To Go加密外部驱动器,例如USB闪存驱动器和外部硬盘驱动器。将驱动器连接到计算机时,系统会提示您输入解锁方法(例如,密码)。如果某人没有解锁方法,则他们将无法访问驱动器上的文件。
在Windows 7到10中,您实际上不必担心自己进行选择。 Windows负责幕后处理,用于启用BitLocker的界面看起来没有什么不同。如果您最终在Windows XP或Vista上解锁了加密的驱动器,则会看到BitLocker to Go品牌,因此我们认为您至少应该了解这一点。
因此,让我们来研究一下它的实际工作原理。
第一步:为驱动器启用BitLocker
为驱动器启用BitLocker的最简单方法是在“文件资源管理器”窗口中右键单击该驱动器,然后选择“打开BitLocker”命令。如果您没有在上下文菜单中看到此选项,则可能是您没有Windows Pro或Enterprise版本,因此您需要寻求其他加密解决方案。
就这么简单。弹出的向导将引导您选择几个选项,我们将其分为以下几个部分。
第二步:选择一种解锁方法
您将在“ BitLocker驱动器加密”向导中看到的第一个屏幕中,您可以选择如何解锁驱动器。您可以选择几种不同的方式来解锁驱动器。
如果您要在计算机上加密系统驱动器,不 具有TPM,您可以使用密码或用作密钥的USB驱动器来解锁驱动器。选择解锁方法,然后按照该方法的说明进行操作(输入密码或插入USB驱动器)。
有关的:如何在Windows上启用预启动BitLocker PIN
如果您的电脑 做 具有TPM,您将看到用于解锁系统驱动器的其他选项。例如,您可以配置启动时自动解锁(您的计算机从TPM抓取加密密钥并自动解密驱动器)。您也可以使用PIN而不是密码,甚至可以选择指纹等生物识别选项。
如果您要加密非系统驱动器或可移动驱动器,则只会看到两个选项(是否有TPM)。您可以使用密码或智能卡(或同时使用两者)解锁驱动器。
第三步:备份恢复密钥
BitLocker为您提供了一个恢复密钥,如果您丢失了主密钥,则可以使用该密钥来访问加密的文件,例如,如果您忘记了密码或具有TPM的PC死了,并且必须从另一个系统访问驱动器。
您可以将密钥保存到您的Microsoft帐户,USB驱动器,文件,甚至打印出来。无论您要加密系统驱动器还是非系统驱动器,这些选项都是相同的。
如果您将恢复密钥备份到您的Microsoft帐户,则可以稍后在//onedrive.live.com/recoverykey上访问该密钥。如果您使用其他恢复方法,请确保妥善保存此密钥-如果有人可以访问它,则他们可以解密您的驱动器并绕过加密。
您还可以根据需要以多种方式备份恢复密钥。只需依次单击要使用的每个选项,然后按照说明进行操作。保存完恢复密钥后,请点击“下一步”继续。
笔记:如果您正在加密USB或其他可移动驱动器,则无法选择将恢复密钥保存到USB驱动器。您可以使用其他三个选项中的任何一个。
第四步:加密和解锁驱动器
添加新文件时,BitLocker会自动对其进行加密,但是您必须选择驱动器上当前文件的处理方式。您可以加密整个驱动器(包括可用空间),也可以仅加密使用的磁盘文件以加快处理过程。无论您要加密系统驱动器还是非系统驱动器,这些选项都相同。
有关的:如何恢复已删除的文件:终极指南
如果您要在新PC上设置BitLocker,则只需加密已使用的磁盘空间-速度会更快。如果您在已经使用了一段时间的PC上设置BitLocker,则应该对整个驱动器进行加密,以确保没有人可以恢复已删除的文件。
做出选择后,请点击“下一步”按钮。
第五步:选择加密模式(仅适用于Windows 10)
如果您使用的是Windows 10,则会看到另一个屏幕,供您选择加密方法。如果您使用的是Windows 7或8,请跳到下一步。
Windows 10引入了一种名为XTS-AES的新加密方法。与Windows 7和8中使用的AES相比,它提供了增强的完整性和性能。如果您知道要加密的驱动器仅将在Windows 10 PC上使用,请继续并选择“新加密模式”选项。如果您认为某个时候可能需要将该驱动器与旧版本的Windows一起使用(如果是可移动驱动器,则尤其重要),请选择“兼容模式”选项。
无论您选择哪个选项(系统驱动器和非系统驱动器都相同),继续操作,完成后单击“下一步”按钮,然后在下一个屏幕上单击“开始加密”按钮。
第六步:完成
加密过程可能需要几秒钟到几分钟甚至更长的时间,具体取决于驱动器的大小,要加密的数据量以及是否选择加密可用空间。
如果您要加密系统驱动器,则系统将提示您运行BitLocker系统检查并重新启动系统。确保选择了该选项,单击“继续”按钮,然后在出现询问时重新启动PC。在PC首次启动后,Windows会对驱动器进行加密。
如果您要加密非系统或可移动驱动器,则Windows无需重新启动,加密会立即开始。
无论您要加密哪种类型的驱动器,都可以检查系统托盘中的BitLocker驱动器加密图标以查看其进度,并且可以在加密驱动器的同时继续使用计算机,这只会使其运行速度变慢。
解锁驱动器
如果您的系统驱动器是加密的,则对其进行解锁取决于您选择的方法(以及您的PC是否具有TPM)。如果您确实有TPM并选择了自动将驱动器解锁,那么您将不会发现任何不同的地方–您将像往常一样直接进入Windows。如果您选择了另一种解锁方法,则Windows会提示您解锁驱动器(通过输入密码,连接USB驱动器或其他方法)。
有关的:如何从BitLocker加密的驱动器中恢复文件
如果您丢失(或忘记了)解锁方式,请在提示屏幕上按Escape输入恢复密钥。
如果您已加密非系统驱动器或可移动驱动器,则在启动Windows后首次访问该驱动器时(如果该驱动器是可移动驱动器,则将其连接到PC时)Windows会提示您解锁该驱动器。输入密码或插入智能卡,驱动器应解锁,以便您可以使用它。
在文件资源管理器中,加密的驱动器在图标(左侧)上显示金锁。当您解锁驱动器时(右侧),该锁定将变为灰色并显示为未锁定。
您可以从BitLocker控制面板窗口中管理锁定的驱动器-更改密码,关闭BitLocker,备份恢复密钥或执行其他操作。右键单击任何加密的驱动器,然后选择“管理BitLocker”以直接转到该页面。
像所有加密一样,BitLocker确实会增加一些开销。微软官方的BitLocker常见问题解答说:“通常,它会带来单位数字的性能开销。”如果加密对您很重要,因为您拥有敏感数据(例如,装满业务文档的笔记本电脑),那么增强的安全性就值得在性能上进行权衡。