启用BitLocker加密，Windows将在每次使用大多数现代计算机内置的TPM启动计算机时自动解锁驱动器。但你可以设置任何USB闪存驱动器作为“启动密钥”，在你的电脑解密驱动器和启动Windows之前，启动密钥必须存在。

这有效地为BitLocker加密添加了双因素身份验证。无论何时启动计算机，都需要在解密之前提供USB密钥。这将是特别有用的一个小的USB驱动器，你随身携带的钥匙链。

相关：如何在Windows上设置BitLocker加密

第一步：启用bitlocker（如果尚未启用）

显然，这需要BitLocker驱动器加密，这意味着它只能在Windows的专业版和企业版上工作。在执行以下任何步骤之前，您需要从控制面板在系统驱动器上启用BitLocker加密。

如果您特意在没有TPM的PC上启用BitLocker，则可以选择创建USB启动密钥作为安装过程的一部分。这将代替TPM使用。以下步骤仅在具有TPM的计算机上启用BitLocker时才是必需的，而大多数现代计算机都具有TPM。

如果您有家庭版Windows，则无法使用BitLocker。您可以使用设备加密功能，但这与BitLocker的工作方式不同，不允许您提供启动密钥。

第二步：在组策略编辑器中启用启动键

启用BitLocker后，需要在Windows的组策略中启用启动密钥要求。要打开组策略编辑器，请按键盘上的Windows+R，键入“gpedit.msc软件，然后按Enter键。

进入“组策略”窗口中的“计算机配置”>“管理模板”>“Windows组件”>“BitLocker驱动器加密”>“操作系统驱动器”。

双击右窗格中的“启动时需要附加身份验证”选项。

选择窗口顶部的“启用”。然后，单击“配置TPM启动密钥”下的框并选择“需要TPM启动密钥”选项。单击“确定”保存更改。

第三步：为驱动器配置启动密钥

现在可以使用manage-bde命令为BitLocker加密驱动器配置USB驱动器。

首先，将USB驱动器**计算机。请注意下面的屏幕截图中USB驱动器的盘符–D:。Windows会将一个小的.bek文件保存到驱动器中，这样它就会成为您的启动密钥。

接下来，以管理员身份启动命令提示符窗口。在Windows 10或8上，右键单击“开始”按钮并选择“命令提示（管理）”。在Windows 7上，在“开始”菜单中找到“命令提示符”快捷方式，右键单击它，然后选择“以管理员身份运行”

运行以下命令。下面的命令适用于C:驱动器，因此如果您需要另一个驱动器的启动密钥，请输入其驱动器号，而不是C:。您还需要输入要用作启动密钥的已连接USB驱动器的驱动器号，而不是x:。

密钥将以.bek文件扩展名的隐藏文件形式保存到USB驱动器中。如果显示隐藏文件，则可以看到它。

下次启动计算机时，系统会要求您**USB驱动器。小心使用密钥–从您的USB驱动器复制密钥的人可以使用该副本解锁您的BitLocker加密驱动器。

要再次检查是否正确添加了TPMAndStartupKey保护器，可以运行以下命令：

（此处显示的“数字密码”密钥保护器是您的恢复密钥。）

如何删除启动密钥要求

如果您改变主意，并且以后不再需要启动键，可以撤消此更改。首先，返回到组策略编辑器并将选项更改回“Allow Startup Key With TPM”。您不能将选项设置为“Require Startup Key With TPM”，否则Windows将不允许您从驱动器中删除启动密钥要求。

接下来，以管理员身份打开命令提示符窗口并运行以下命令（如果您使用的是其他驱动器，请再次替换c:）：

这将用“TPM”要求替换“TPM和StartupKey”要求，删除PIN。启动时，BitLocker驱动器将通过计算机的TPM自动解锁。

要检查此操作是否成功完成，请再次运行status命令：

请尝试先重新启动计算机。如果所有的设备都正常工作，而且您的计算机不需要USB驱动器启动，您可以自由格式化驱动器或删除BEK文件。你也可以把它留在你的驱动器上——这个文件实际上不会再做任何事情了。

如果丢失启动密钥或从驱动器中删除.bek文件，则需要为系统驱动器提供BitLocker恢复代码。为系统驱动器启用BitLocker时，应该将其保存在安全的地方。

图片来源：托尼·奥斯汀/Flickr