啟用BitLocker加密,Windows將在每次使用大多數現代計算機內建的TPM啟動計算機時自動解鎖驅動器。但你可以設定任何USB快閃記憶體驅動器作為“啟動金鑰”,在你的電腦解密驅動器和啟動Windows之前,啟動金鑰必須存在。
這有效地為BitLocker加密添加了雙因素身份驗證。無論何時啟動計算機,都需要在解密之前提供USB金鑰。這將是特別有用的一個小的USB驅動器,你隨身攜帶的鑰匙鏈。
相關:如何在Windows上設定BitLocker加密
顯然,這需要BitLocker驅動器加密,這意味著它只能在Windows的專業版和企業版上工作。在執行以下任何步驟之前,您需要從控制面板在系統驅動器上啟用BitLocker加密。
如果您特意在沒有TPM的PC上啟用BitLocker,則可以選擇建立USB啟動金鑰作為安裝過程的一部分。這將代替TPM使用。以下步驟僅在具有TPM的計算機上啟用BitLocker時才是必需的,而大多數現代計算機都具有TPM。
如果您有家庭版Windows,則無法使用BitLocker。您可以使用裝置加密功能,但這與BitLocker的工作方式不同,不允許您提供啟動金鑰。
啟用BitLocker後,需要在Windows的組策略中啟用啟動金鑰要求。要開啟組策略編輯器,請按鍵盤上的Windows+R,鍵入“gpedit.msc軟體,然後按Enter鍵。
進入“組策略”視窗中的“計算機配置”>“管理模板”>“Windows元件”>“BitLocker驅動器加密”>“作業系統驅動器”。
雙擊右窗格中的“啟動時需要附加身份驗證”選項。
選擇視窗頂部的“啟用”。然後,單擊“配置TPM啟動金鑰”下的框並選擇“需要TPM啟動金鑰”選項。單擊“確定”儲存更改。
現在可以使用manage-bde命令為BitLocker加密驅動器配置USB驅動器。
首先,將USB驅動器**計算機。請注意下面的螢幕截圖中USB驅動器的碟符–D:。Windows會將一個小的.bek檔案儲存到驅動器中,這樣它就會成為您的啟動金鑰。
接下來,以管理員身份啟動命令提示符視窗。在Windows 10或8上,右鍵單擊“開始”按鈕並選擇“命令提示(管理)”。在Windows 7上,在“開始”選單中找到“命令提示符”快捷方式,右鍵單擊它,然後選擇“以管理員身份執行”
執行以下命令。下面的命令適用於C:驅動器,因此如果您需要另一個驅動器的啟動金鑰,請輸入其驅動器號,而不是C:。您還需要輸入要用作啟動金鑰的已連線USB驅動器的驅動器號,而不是x:。
manage-bde -protectors -add c: -TPMAndStartupKey x:金鑰將以.bek副檔名的隱藏檔案形式儲存到USB驅動器中。如果顯示隱藏檔案,則可以看到它。
下次啟動計算機時,系統會要求您**USB驅動器。小心使用金鑰–從您的USB驅動器複製金鑰的人可以使用該副本解鎖您的BitLocker加密驅動器。
要再次檢查是否正確添加了TPMAndStartupKey保護器,可以執行以下命令:
manage-bde -status(此處顯示的“數字密碼”金鑰保護器是您的恢復金鑰。)
如果您改變主意,並且以後不再需要啟動鍵,可以撤消此更改。首先,返回到組策略編輯器並將選項更改回“Allow Startup Key With TPM”。您不能將選項設定為“Require Startup Key With TPM”,否則Windows將不允許您從驅動器中刪除啟動金鑰要求。
接下來,以管理員身份開啟命令提示符視窗並執行以下命令(如果您使用的是其他驅動器,請再次替換c:):
manage-bde -protectors -add c: -TPM這將用“TPM”要求替換“TPM和StartupKey”要求,刪除PIN。啟動時,BitLocker驅動器將透過計算機的TPM自動解鎖。
要檢查此操作是否成功完成,請再次執行status命令:
manage-bde -status c:請嘗試先重新啟動計算機。如果所有的裝置都正常工作,而且您的計算機不需要USB驅動器啟動,您可以自由格式化驅動器或刪除BEK檔案。你也可以把它留在你的驅動器上——這個檔案實際上不會再做任何事情了。
如果丟失啟動金鑰或從驅動器中刪除.bek檔案,則需要為系統驅動器提供BitLocker恢復程式碼。為系統驅動器啟用BitLocker時,應該將其儲存在安全的地方。
圖片來源:託尼·奧斯汀/Flickr
... 微軟推薦BitLocker作為系統金鑰的替代品。但你有什麼選擇?我們來看看。 ...
...、最快的方法之一。Windows10內建了一個驅動器加密程式。BitLocker是一種可供Windows 10 Pro、企業和教育使用者使用的全驅動器加密工具。 ...
BitLocker是Windows內建的加密技術,最近受到了一些歡迎。最近的一次攻擊顯示,移除了一臺計算機的TPM晶片以提取其加密金鑰,許多硬碟驅動器正在破壞BitLocker。以下是避免BitLocker陷阱的指南。 請注意,這些攻擊都需要物理訪問...
...s 7、8或10的專業版、企業版或教育版,則可以啟用可選的BitLocker加密來保護您的裝置。如果您使用的是這些更昂貴的Windows版本,並且已設定BitLocker,則假設您使用了強密碼,則您的資料將是安全的。 您可以透過進入“控制面板...
...這些資料。 微軟很早以前就在Windows中添加了一個名為“BitLocker”的磁碟加密功能,但是如果你使用Windows的家庭版,你就太倒黴了。當然,除非你願意升級到專業版。 相關:如何在Windows10上啟用全磁碟加密 只有WindowsProfessional包...
...本的保護。 保護您的驅動器 相關:如何在Windows上設定BitLocker加密 如果您在計算機上保留任何個人資訊,則需要加密儲存驅動器。加密是一種安全措施,只允許您訪問資料。任何沒有你的密碼或其他身份資訊的人都無法訪問它...
BitLocker是一個內置於Windows的工具,可以對整個硬碟進行加密以增強安全性。下面是如何設定它。 當TrueCrypt有爭議地關閉商店時,他們建議他們的使用者從TrueCrypt過渡到使用BitLocker或Veracrypt。BitLocker在Windows中已經存在了足夠長...
...密”,但其他PC需要您再支付99美元才能在Windows Pro上獲得BitLocker進行全磁碟加密。如果您不願意,您可以使用免費的開源VeraCrypt軟體在任何版本的Windows上獲得完整的磁碟加密。 相關:如何在Windows10上啟用全磁碟加密 加密是確保...
BitLocker的全磁碟加密通常需要具有可信平臺模組(TPM)的計算機。嘗試在沒有TPM的PC上啟用BitLocker,您將被告知管理員必須設定系統策略選項。 BitLocker僅在Windows的專業版、企業版和教育版上可用。它也包含在Windows7Ultimate中,但...