如何使用 Windows 中的 BitLocker 加密保护敏感文档

La 数据保护 在数字时代，这一点比以往任何时候都更加重要，因为设备与我们一起出行，并且很容易落入不法之徒之手。 BitLocker的 是一个 此功能可能会导致丢失一台笔记本电脑和丢失其上的所有敏感信息。 但是 BitLocker 到底是什么，它有什么用途，以及如何激活它？

无论你是将 Windows 用于工作、学习还是日常使用，了解如何使用 BitLocker 加密都能帮你省去很多麻烦。我们将详细讲解它的工作原理、激活所需的条件以及如何管理它。

什么是 BitLocker 以及为什么应该考虑启用它？

BitLocker 是 由微软开发并集成到许多Windows系统中的磁盘加密解决方案。 其主要功能是防止未经授权访问硬盘上的数据，无论是系统驱动器、辅助驱动器，还是外部设备。

这个想法很简单： 驱动器上的所有数据都使用强大的算法加密，通常是 AES（高级加密标准), 只有拥有正确密钥或满足既定身份验证要求的人才能解密。如果有人试图从另一台计算机访问该磁盘或直接提取信息，他们将遇到难以逾越的障碍。

为什么要使用 BitLocker？用例和避免的风险

BitLocker 专门用于防范两种非常常见的风险： 您的电脑被盗或丢失，以及存储驱动器的不当处置或回收。如果您的笔记本电脑在旅行途中丢失、在工作中被盗，或未经擦除驱动器就被丢弃，只要 BitLocker 处于活动状态并且您妥善管理了密钥，您的文件就会保持安全。

另外， 加密对于遵守数据保护法规至关重要，无论是在欧洲层面（例如 GDPR）还是在受监管的行业（医疗保健、教育等）。 保密性至关重要。这不仅仅适用于企业：任何想要保护个人照片、银行文件或敏感文件的用户都应该考虑这一额外的安全保障。

BitLocker的工作原理：技术、模式和身份验证

BitLocker 使用 AES加密 在 XTS 或 CBC 模式下， 128 位或 256 位密钥（取决于配置）该标准被认为是高度安全的，并得到国际组织的认可，确保即使攻击者可以物理访问磁盘，如果没有正确的密钥也无法读取数据。

有几种方法可以解锁加密：

• TPM（可信平台模块）： 嵌入计算机的物理芯片，可安全地存储加密密钥并验证系统未被篡改。
• 启动时输入 PIN 码： 添加了密码，用户每次启动计算机时都必须输入该密码。
• USB 设备作为启动键： 仅当先前连接了具有必要密钥的 USB 时，系统才会解锁。
• 传统密码： 对于外部驱动器或辅助磁盘，可以使用强密码。

使用 BitLocker 与 TPM 的一大优势是，除了方便之外， 它还可以防止启动攻击和物理操作。 但是，在没有 TPM 的计算机上，BitLocker 仍然可以工作，但它需要额外的配置，并且不提供针对启动修改的相同保护。

使用 BitLocker 的要求：硬件、Windows 版本和分区

为了充分利用 BitLocker， 计算机必须满足某些要求，这些要求取决于加密类型和 Windows 版本.

• Windows 版本： BitLocker 适用于 Windows 11 和 10 专业版、企业版和教育版，以及 Windows 8.1 和 Windows 7 的专业版及更高版本。家庭版仅包含所谓的“设备加密”，功能较为有限。
• TPM 版本 1.2 或更高版本： 自动加密和系统完整性检查所必需的。在没有 TPM 的计算机上，可以使用 USB 启动密钥或密码，但这不太安全。
• 支持的固件： UEFI 或 BIOS 必须支持 TCG，并且在 TPM 2.0 的情况下，需要 UEFI 启动模式并禁用 CSM。
• 磁盘分区： 磁盘必须至少分区为一个系统驱动器（Windows 启动的位置）和一个操作系统驱动器。前者在 UEFI 中通常为 FAT32，在 BIOS 中为 NTFS。

在激活 BitLocker 之前，必须检查您的计算机是否满足这些要求。 您可以通过在 Windows 中搜索“系统信息”并检查“设备加密支持”部分来执行此操作。

如何逐步激活 BitLocker

从图形界面

1. 访问“控制面板”并转到“系统和安全”。
2. 单击“BitLocker 驱动器加密”。
3. 选择要加密的驱动器并选择“打开 BitLocker”。
4. 选择解锁方法：使用 TPM、密码、PIN 或 USB 作为启动密钥。
5. 选择保存恢复密钥的位置：Microsoft 帐户、USB 记忆棒、外部文件或打印在纸上。
6. 确定您是仅加密正在使用的空间还是加密整个磁盘。后者速度较慢，但对于已使用的磁盘来说更安全。
7. 选择加密类型：建议当前计算机使用新加密类型（XTS-AES），如果要将驱动器移动到旧计算机，则选择兼容加密类型（CBC）。
8. 选中“运行 BitLocker 系统检查”框以确认一切正确。
9. 重新启动计算机；重启后将开始加密。

请注意，该过程可能需要 20 分钟到几个小时，具体取决于设备的大小和用途。 您可以继续使用计算机，但建议在完成之前不要执行关键任务。

从命令行

对于高级用户，可以使用以下命令从命令提示符启用 BitLocker 并管理其选项 manage-bde。 例如：

• manage-bde -on C: -RecoveryPassword 在驱动器 C 上打开 BitLocker 并设置恢复密钥。
• manage-bde -status 检查所有驱动器的加密状态。

这对于跨多台计算机自动配置非常有用，非常适合企业环境。

恢复密钥管理：您需要了解的最重要的事情

BitLocker加密中最关键的环节是恢复密钥。 如果没有此密钥，如果您忘记密码、丢失 PIN 码或系统检测到可疑更改（例如，在重大硬件更改后），就无法恢复数据。在完成设置之前，Windows 会要求您保存此恢复密钥。您有以下几种选择：

• 微软帐户： 它可以自动或手动关联，并允许通过登录从任何设备恢复它。
• 打印或保存到 USB/外部文件： 确保不要将其放在显眼的地方或计算机上，以防止任何可以访问该设备的人也窃取密钥。
• Active Directory 或 MDM 解决方案： 在公司中，通常将所有密码存储在一个集中目录中，以便 IT 部门更轻松地恢复它们。

如果您需要密钥，Windows 将向您显示一个唯一的标识符来帮助您找到特定的文件。

如何禁用或暂停 BitLocker

如果 BIOS 更新、硬件更改或您决定停止使用加密，暂停和禁用 BitLocker 是有用的选项。

• 遣散： 保持磁盘加密，但暂时禁用 BitLocker 保护，直到下次重启。建议在更新固件之前执行此操作，否则您可能会失去访问权限。
• 停用： 完全解密驱动器，此过程可能需要数小时。之后无需密码即可访问磁盘，且磁盘将不再受保护。

这两个选项都可以通过控制面板中的“管理 BitLocker”或命令行进行管理。

BitLocker 的局限性和潜在缺点

• 并非在所有 Windows 版本中都可用： 家庭版仅支持简化的设备加密，并且不提供所有 BitLocker 选项。
• 需要兼容硬件： 只有兼容的 TPM 和 BIOS/UEFI 才能实现最高级别的保护。如果没有这些，加密虽然可以正常工作，但抵御物理攻击的能力会下降。
• 丢失密钥=数据丢失： 如果您没有安全地保存恢复密钥，您将永远无法访问加密文件。
• 与其他系统的兼容性： 除了 Windows 之外的操作系统无法轻松访问加密驱动器。
• 硬件更改或升级： 有时，在更新 BIOS 或修改组件后，BitLocker 可能需要恢复密钥才能重新获得对数据的访问权限。

谁应该启用 BitLocker？

如今，如果您存储个人、专业或机密信息，磁盘加密几乎是强制性的。 特别推荐用于：

• 管理敏感数据（健康、教育、法律等）的公司和组织
• 经常出差或远程工作的用户，因为这会增加设备丢失或被盗的风险。
• 任何想要防止个人数据、照片、文件或凭证落入未经授权者之手的人。

如果您需要在 Windows 和 Linux 系统之间频繁移动磁盘，或者您正在寻找完全可审计的开源解决方案，则不建议使用。

至关重要的是 在 Windows 中启用 BitLocker 加密是保护您的个人和专业信息在设备落入他人之手时免遭未经授权的访问的最有效措施之一。 通过遵循本指南中的步骤并注意恢复密钥管理，您可以放心，因为您的数据受到针对现代 Windows 系统优化的强大集成技术的保护。