如何在没有受信任的平台模块（TPM）的情况下使用BitLocker

BitLocker的全盘加密通常需要一台具有受信任的平台模块（TPM）的计算机。尝试在没有TPM的PC上启用BitLocker，然后会告诉您管理员必须设置系统策略选项。

BitLocker仅在Windows专业版，企业版和教育版上可用。它也包含在Windows 7 Ultimate中，但在Windows的任何Home版本中均不可用。

为什么BitLocker需要TPM？

有关的：什么是TPM？为什么Windows需要一个TPM进行磁盘加密？

BitLocker通常在计算机的主板上需要一个受信任的平台模块或TPM。该芯片生成并存储实际的加密密钥。它可以在启动时自动解锁PC的驱动器，因此您只需输入Windows登录密码即可登录。很简单，但是TPM正在后台进行艰苦的工作。

如果有人篡改PC或从计算机中取出驱动器并尝试对其进行解密，那么没有TPM中存储的密钥就无法访问该驱动器。如果将TPM移至另一台PC的主板上，该TPM也将无法使用。

您可以购买TPM芯片并将其添加到某些主板上，但是如果您的主板（或笔记本电脑）不支持，则可能要使用不带TPM的BitLocker。它的安全性较差，但总比没有好。

您可以通过更改组策略来绕过此限制。如果您的PC已加入企业或学校域，则您无法自行更改组策略设置。组策略由您的网络管理员集中配置。

如果您只是在自己的PC上执行此操作，并且未加入域，则可以使用“本地组策略编辑器”更改自己PC的设置。

要打开本地组策略编辑器，请在键盘上按Windows + R，在“运行”对话框中键入“ gpedit.msc”，然后按Enter。

在左窗格中，导航到“本地计算机策略”>“计算机配置”>“管理模板”>“ Windows组件”>“ BitLocker驱动器加密”>“操作系统驱动器”。

双击右窗格中的“启动时需要其他身份验证”选项。

选择窗口顶部的“已启用”，并确保此处启用了“允许不具有兼容TPM的BitLocker（需要USB闪存驱动器上的密码或启动密钥）”复选框。

单击“确定”保存更改。现在，您可以关闭“组策略编辑器”窗口。您的更改将立即生效-您甚至无需重新启动。

现在，您可以正常启用，配置和使用BitLocker。转到“控制面板”>“系统和安全性”>“ BitLocker驱动器加密”，然后单击“打开BitLocker”以为驱动器启用它。

首先，您将被问到PC启动时如何解锁驱动器。如果您的PC具有TPM，则可以使计算机自动解锁驱动器或使用需要提供TPM的短PIN码。

由于您没有TPM，因此您必须选择在每次启动PC时输入密码或提供USB闪存驱动器。如果您在此处提供USB闪存驱动器，则每次启动PC来访问文件时，都需要将该闪存驱动器连接到PC。

有关的：如何在Windows上设置BitLocker加密

继续执行BitLocker设置过程，以启用BitLocker驱动器加密，保存恢复密钥并加密驱动器。其余过程与常规BitLocker设置过程相同。

启动PC时，您必须输入密码或插入提供的USB闪存驱动器。如果您无法提供密码或USB驱动器，则BitLocker将无法解密您的驱动器，并且您将无法启动Windows系统并访问文件。