如何在没有受信任的平台模块(TPM)的情况下使用BitLocker
BitLocker的全盘加密通常需要一台具有受信任的平台模块(TPM)的计算机。尝试在没有TPM的PC上启用BitLocker,然后会告诉您管理员必须设置系统策略选项。
BitLocker仅在Windows专业版,企业版和教育版上可用。它也包含在Windows 7 Ultimate中,但在Windows的任何Home版本中均不可用。
为什么BitLocker需要TPM?
有关的:什么是TPM?为什么Windows需要一个TPM进行磁盘加密?
BitLocker通常在计算机的主板上需要一个受信任的平台模块或TPM。该芯片生成并存储实际的加密密钥。它可以在启动时自动解锁PC的驱动器,因此您只需输入Windows登录密码即可登录。很简单,但是TPM正在后台进行艰苦的工作。
如果有人篡改PC或从计算机中取出驱动器并尝试对其进行解密,那么没有TPM中存储的密钥就无法访问该驱动器。如果将TPM移至另一台PC的主板上,该TPM也将无法使用。
您可以购买TPM芯片并将其添加到某些主板上,但是如果您的主板(或笔记本电脑)不支持,则可能要使用不带TPM的BitLocker。它的安全性较差,但总比没有好。
如何在没有TPM的情况下使用BitLocker
您可以通过更改组策略来绕过此限制。如果您的PC已加入企业或学校域,则您无法自行更改组策略设置。组策略由您的网络管理员集中配置。
如果您只是在自己的PC上执行此操作,并且未加入域,则可以使用“本地组策略编辑器”更改自己PC的设置。
要打开本地组策略编辑器,请在键盘上按Windows + R,在“运行”对话框中键入“ gpedit.msc”,然后按Enter。
在左窗格中,导航到“本地计算机策略”>“计算机配置”>“管理模板”>“ Windows组件”>“ BitLocker驱动器加密”>“操作系统驱动器”。
双击右窗格中的“启动时需要其他身份验证”选项。
选择窗口顶部的“已启用”,并确保此处启用了“允许不具有兼容TPM的BitLocker(需要USB闪存驱动器上的密码或启动密钥)”复选框。
单击“确定”保存更改。现在,您可以关闭“组策略编辑器”窗口。您的更改将立即生效-您甚至无需重新启动。
如何设置BitLocker
现在,您可以正常启用,配置和使用BitLocker。转到“控制面板”>“系统和安全性”>“ BitLocker驱动器加密”,然后单击“打开BitLocker”以为驱动器启用它。
首先,您将被问到PC启动时如何解锁驱动器。如果您的PC具有TPM,则可以使计算机自动解锁驱动器或使用需要提供TPM的短PIN码。
由于您没有TPM,因此您必须选择在每次启动PC时输入密码或提供USB闪存驱动器。如果您在此处提供USB闪存驱动器,则每次启动PC来访问文件时,都需要将该闪存驱动器连接到PC。
有关的:如何在Windows上设置BitLocker加密
继续执行BitLocker设置过程,以启用BitLocker驱动器加密,保存恢复密钥并加密驱动器。其余过程与常规BitLocker设置过程相同。
启动PC时,您必须输入密码或插入提供的USB闪存驱动器。如果您无法提供密码或USB驱动器,则BitLocker将无法解密您的驱动器,并且您将无法启动Windows系统并访问文件。