如何在 Windows 系统中使用 BitLocker 加密文件夹以及其他替代方案

保护电脑上的存储内容并非可有可无，而是至关重要。Windows 提供多层安全保护，防止未经授权访问您的数据，无论您的电脑被盗，还是有人试图从其他系统访问它。借助内置工具（例如，您可以使用 BitLocker 加密文件夹），您可以…… 加密文件、文件夹、整个驱动器和外部设备 只需点击几下即可。

本指南将介绍使用 BitLocker 和其他替代方案加密文件夹所需的一切信息。您将了解所需的 Windows 版本、如何检查计算机是否具有 TPM、如何使用 EFS 加密单个项目等等。 如何创建并正确保存恢复密钥我还解释了如果没有 TPM 该怎么办，应该选择哪种算法和密钥长度，可能的性能影响，以及如果您正在寻找类似密码保护的容器/ISO 之类的东西，有哪些选项可用。

Windows 提供哪些加密选项？它们之间有何区别？

在Windows系统中，三种方法并存：

• 设备加密如果您的硬件满足特定要求，它会自动激活保护功能，并在您首次登录后将恢复密钥关联到您的 Microsoft 帐户。即使在 Windows 家庭版中，它通常也可用，但并非所有计算机都支持此功能。
• BitLocker的, BitLocker To Go 提供专业版、企业版和教育版，可对系统盘以及其他内部或外部驱动器进行全盘加密。其主要优势在于能够端到端地保护整个卷。
• EFS（加密文件系统） 它专为单个文件和文件夹而设计，并与您的用户帐户关联，因此只有加密它们的人才能使用同一帐户打开它们。它非常适合少量敏感文档，但无法取代 BitLocker 提供全面的保护。

如何判断您的设备是否支持设备加密和TPM

要检查“设备加密”兼容性，请转到“开始”，搜索“系统信息”，右键单击并选择“以管理员身份运行”。在“系统摘要”中，找到“设备加密支持”条目。如果看到“满足先决条件”，则一切就绪；如果看到类似如下的消息： “无法使用TPM”、“未配置WinRE”或“不支持PCR7绑定”您需要纠正这些问题（激活 TPM/安全启动、配置 WinRE、启动时断开外部扩展坞或显卡等）。

要确认是否存在 TPM：按 Windows + X，打开“设备管理器”，在“安全设备”下查找版本为 1.2 或更高版本的“可信平台模块 (TPM)”。您也可以按 Windows + R 运行“tpm.msc”。 BitLocker 与 TPM 配合使用效果最佳。但往下看，你会看到如何在没有芯片的情况下激活它。

使用 EFS 加密文件和文件夹（Windows 专业版/企业版/教育版）

如果您只想保护特定文件夹或少量文件，EFS 快捷方便。右键单击该项目，选择“属性”，然后单击“高级”。勾选“加密内容以保护数据”并确认。如果您加密的是文件夹，系统会询问您是否仅对文件夹应用更改，还是也对其子文件夹和文件应用更改。 选择最符合您需求的选项。.

激活后，图标上会显示一个小锁。EFS 仅对当前用户加密；如果您将该文件复制到另一台电脑或尝试从其他帐户打开它，则该文件将无法读取。请谨慎处理临时文件（例如，来自 Word 或 Photoshop 等应用程序的文件）：如果根文件夹未加密， 面包屑可能没有防护措施。因此，建议对包含文档的整个文件夹进行加密。

强烈建议：备份您的加密证书。Windows 会提示您“立即备份密钥”。按照证书导出向导的步骤操作，将密钥保存到 U 盘，并使用强密码保护它。 如果您重新安装 Windows 或切换用户且未导出密钥，则可能会丢失访问权限。.

要解密，请重复以下步骤：属性，高级， 取消勾选“加密内容以保护数据” 而且，这同样适用。Windows 11 中的行为完全相同，因此操作步骤也相同。

使用 BitLocker 加密文件夹（Windows 专业版/企业版/教育版）

BitLocker 可以加密整个卷，包括内部卷和外部卷。在文件资源管理器中，右键单击要保护的驱动器，然后选择“启用 BitLocker”。如果未显示此选项，则说明您的 Windows 版本不包含此功能。如果您收到有关缺少 TPM 的警告， 别担心，它无需TPM即可使用。这只需要对政策进行一些调整，我稍后会解释。

助手会询问您如何解锁驱动器：使用密码或智能卡。最好使用熵值较高的密码（包含大写字母、小写字母、数字和符号）。然后，选择恢复密钥的保存位置：保存在您的 Microsoft 帐户中、U盘中、文件中或打印出来。 保存到 Microsoft 帐户 它非常实用（可通过 onedrive.live.com/recoverykey 访问），但最好同时提供一份离线副本。

下一步，决定是只加密已用空间还是加密整个硬盘。对于新硬盘，第一种方法速度更快；对于旧电脑，最好加密整个硬盘，以保护已删除但仍有可能恢复的数据。 更高的安全性意味着更长的初始时间。.

最后，选择加密模式：对于现代系统，请选择“新建”；如果您要在运行旧版 Windows 的 PC 之间移动驱动器，请选择“兼容”。 运行 BitLocker 系统验证 加密过程仍在继续。如果是系统盘，计算机将重启并在启动时要求输入 BitLocker 密码；如果是数据盘，加密将在后台开始，您可以继续工作。

如果您改变主意，请在资源管理器中右键单击加密驱动器，然后转到“管理 BitLocker”以禁用、更改密码、重新生成恢复密钥或在该计算机上启用自动解锁。 BitLocker 至少需要一种身份验证方法才能正常工作。.

不使用 TPM 的 BitLocker：组策略和启动选项

如果没有 TPM，请使用“gpedit.msc”（Windows + R）打开本地组策略编辑器，然后导航至“计算机配置”>“管理模板”>“Windows 组件”>“BitLocker 驱动器加密”>“操作系统驱动器”。打开“启动时需要额外身份验证”并将其设置为“已启用”。选中“允许在没有兼容 TPM 的情况下使用 BitLocker”旁边的复选框。 应用更改并运行“gpupdate /target:Computer /force” 强制执行。

在系统磁盘上启动 BitLocker 向导时，它会提供两种方法：“插入 USB 闪存驱动器”（这将保存一个 .BEK 启动密钥，每次启动时都必须连接该密钥）或“输入密码”（预启动 PIN 码/密码）。如果您使用 USB，请在 BIOS/UEFI 设置中更改启动顺序，以便计算机可以从 USB 驱动器启动。 请勿尝试从该U盘启动。在此过程中，请勿移除U盘，直到所有操作完成。

在加密之前，BitLocker 可以执行以下操作： 系统测试 确认您在启动过程中能够访问密钥。如果启动失败并显示启动信息，请检查启动顺序和安全选项（例如安全启动），然后重试。

BitLocker To Go：保护 USB 驱动器和外置硬盘

连接外部设备，在文件资源管理器中右键单击该驱动器，然后选择“启用 BitLocker”。设置密码并保存恢复密钥。您可以勾选“在此电脑上不再询问”以启用自动解锁。在其他电脑上， 连接成功后会要求输入密码。 在能够阅读其内容之前。

在非常老的系统（Windows XP/Vista）上，没有原生解锁支持，但微软发布了“BitLocker To Go Reader”，用于对 FAT 格式的驱动器进行只读访问。如果您计划向后兼容，请考虑使用…… “兼容”加密模式 在助理中。

加密算法和强度及其对性能的影响

默认情况下，BitLocker 对内部驱动器使用 128 位密钥的 XTS-AES 加密，对外部驱动器使用 128 位 AES-CBC 加密。您可以将加密深度提升至 256 位，或在设置中调整加密算法：“BitLocker 驱动器加密”>“选择加密方法和强度…”。根据 Windows 版本，此设置会按驱动器类型（启动盘、数据盘、可移动驱动器）进行划分。 推荐使用 XTS-AES 格式。 为了保证稳健性和性能。

对于现代 CPU（AES-NI），影响通常很小，但在某些情况下性能会下降，尤其是在某些安装了 Windows 11 专业版的固态硬盘上，当通过软件强制启用硬件加密的 BitLocker 时。在特定型号（例如三星 990 Pro 4TB）上，随机读取性能下降高达 45%。如果您发现性能严重下降，可以： 1）禁用 BitLocker 1）在该卷中（牺牲安全性），或者 2）如果 SSD 本身可靠，则重新安装并强制对其进行硬件加密（这是一个更复杂的过程，并且取决于制造商）。

请记住，更强的加密（256 位）意味着略高的负载，但在目前的设备上，这种差异通常是可以控制的。 优先考虑安全 如果您处理敏感或受监管的数据。

恢复密钥：存储位置和使用方法

启用 BitLocker 时，务必创建并保存恢复密钥。可用选项包括：“保存到 Microsoft 帐户”（集中访问）、“保存到 USB 闪存驱动器”、“保存到文件”或“打印密钥”。该密钥是一个 48 位数的代码，如果您忘记密码或帐户设置，可以使用该密钥解锁您的帐户。 如果 BitLocker 检测到启动异常 在系统单元上。

如果您加密了多个驱动器，每个密钥都会有一个唯一的标识符。密钥文件名通常包含一个 GUID，BitLocker 会在恢复过程中要求提供该 GUID。要查看保存到您的 Microsoft 帐户的密钥，请在登录后访问 onedrive.live.com/recoverykey。 避免将密钥存储在同一个加密驱动器上。 并保留离线副本。

BitLocker 集成了一个 管理控制台 您可以在此处：更改密码、添加或删除安全措施（密码、PIN+TPM、智能卡）、重新生成恢复密钥，以及在不再需要时禁用加密。

受密码保护的 ISO 文件：Windows 11 中的可靠替代方案

Windows 本身并不提供“受密码保护的 ISO”格式。一些工具会将其转换为它们自己的格式（例如 PowerISO 中的“.DAA”格式），如果您需要保留“.ISO”文件，这并非理想之选。因此，您可以创建一个…… 使用 VeraCrypt 加密的容器 并可按需挂载：它可用作受密码保护的“虚拟驱动器”，并且便于携带。

如果您想共享轻量级文件，现代压缩软件支持使用 AES 加密：使用 7-Zip 或 WinRAR 等工具创建受密码保护的“.zip”或“.7z”压缩文件，并选择加密文件名的选项。对于外部驱动器，Windows 专业版推荐使用 BitLocker To Go；家庭版推荐使用其他加密方式。 VeraCrypt完美地实现了其目标。.

综上所述，您可以决定是使用 EFS 加密文件夹，使用 BitLocker 加密整个驱动器，还是创建一个容器。 VeraCrypt关键在于选择适合您的 Windows 版本和硬件的方法，妥善保管恢复密钥，并根据您的优先级调整算法/长度。 如果你注意这三点，就能在不给生活带来麻烦的情况下保护你的数据。.