如何在Windows上设置BitLocker加密

bitlocker-locked-drive-icon

BitLocker是内置于Windows中的一种工具,可让您加密整个硬盘以提高安全性。 以下是如何设置它。

当TrueCrypt争议性地关闭了商店时,他们建议用户从TrueCrypt过渡到使用BitLocker或Veracrypt BitLocker已经足够长的时间被认为是成熟的,是安全专家普遍认可的加密产品。 在本文中,我们将讨论如何在PC上进行设置。

注意 :BitLocker驱动器加密和BitLocker To Go需要专业或企业版本的Windows 8或10,或Windows 7的Ultimate版本。但是,从Windows 8.1开始,Windows的Home版本和Pro版本包含“设备加密”功能(也包含在Windows 10中的一个功能),其功能类似。 如果您的计算机支持,我们推荐设备加密,无法使用设备加密的BitLocker for Pro用户以及使用设备加密无效的Windows Home版本的用户使用VeraCrypt

加密整个驱动器或创建一个加密的容器?

那里的许多指南都讨论了如何创建一个BitLocker容器,它与TrueCrypt或Veracrypt等产品可以创建的加密容器类似。 这有点用词不当,但可以达到类似的效果。 BitLocker通过加密整个驱动器来工作。 这可能是您的系统驱动器,不同的物理驱动器或虚拟硬盘驱动器(VHD),它们作为文件存在并安装在Windows中。

差异主要是语义。 在其他加密产品中,您通常会创建一个加密容器,然后在需要使用它时将其作为驱动器安装在Windows中。 使用BitLocker,您可以创建一个虚拟硬盘,然后对其进行加密。 如果您想使用容器而不是加密现有系统或存储驱动器,请查看我们的指南,以使用BitLocker创建加密的容器文件

对于本文,我们将专注于为现有物理驱动器启用BitLocker。

如何使用BitLocker加密驱动器

要将BitLocker用于驱动器,您只需启用BitLocker,选择解锁方法(密码,PIN码等),然后设置其他几个选项即可。 但是,在介绍此之前,您应该知道在系统驱动器上使用BitLocker的全盘加密通常需要在PC主板上安装可信平台模块(TPM)的计算机。 该芯片生成并存储BitLocker使用的加密密钥。 如果您的PC没有TPM,则可以使用组策略来启用不使用TPM的BitLocker 这是一个不太安全,但仍然比不使用加密更安全。

您可以在不使用TPM的情况下加密非系统驱动器或可移动驱动器,也无需启用组策略设置。

在该说明中,您还应该知道可以启用两种类型的BitLocker驱动器加密:

  • BitLocker驱动器加密 :有时简称为BitLocker,这是一个“全盘加密”功能,可以加密整个驱动器。 当您的电脑启动时,Windows引导加载程序会从系统保留分区加载,引导加载程序会提示您输入解锁方法,例如密码。 BitLocker然后解密该驱动器并加载Windows。 加密是透明的 - 你的文件通常会在未加密的系统上显示,但是它们以加密的形式存储在磁盘上。 您也可以加密其他驱动器,而不仅仅是系统驱动器。
  • BitLocker To Go :您可以使用BitLocker To Go加密外部驱动器(如USB闪存驱动器和外部硬盘驱动器)。 将驱动器连接到计算机时,系统会提示您输入解锁方法(例如密码)。 如果某人没有解锁方法,则无法访问驱动器上的文件。

在Windows 7到10中,你真的不用担心自己做出选择。 Windows在幕后处理事情,而用来启用BitLocker的界面看起来没有什么不同。 如果最终在Windows XP或Vista上解锁加密的驱动器,则会看到BitLocker to GoBranded,所以我们认为至少应该知道这一点。

那么,让我们来看看这是如何实际工作的。

第一步:为驱动器启用BitLocker

为驱动器启用BitLocker的最简单方法是在“文件资源管理器”窗口中右键单击驱动器,然后选择“打开BitLocker”命令。 如果在上下文菜单中没有看到此选项,则可能没有Windows版本的Pro或Enterprise版本,而需要寻求其他加密解决方案。

就这么简单。 弹出的向导会引导您选择几个选项,我们将其分解为以下部分。

第二步:选择一个解锁方法

您将在“BitLocker驱动器加密”向导中看到的第一个屏幕让您选择如何解锁驱动器。 您可以选择几种不同的方式来解锁驱动器。

如果您在没有 TPM的计算机上加密系统驱动器, 可以使用密码或用作密钥的USB驱动器解锁驱动器。 选择您的解锁方法,并按照该方法的说明(输入密码或插入您的USB驱动器)。

如果您的计算机具有TPM,则会看到用于解锁系统驱动器的其他选项。 例如,您可以在启动时配置自动解锁(您的计算机从TPM抓取加密密钥并自动解密驱动器)。 您也可以使用PIN而不是密码,甚至可以选择指纹等生物识别选项。

如果您正在加密非系统驱动器或可移动驱动器,则只会看到两个选项(无论您是否拥有TPM)。 您可以使用密码或智能卡(或两者)解锁驱动器。

第三步:备份你的恢复密钥

BitLocker为您提供一个恢复密钥,您可以使用它来访问加密文件,例如,如果您忘记了密码,或者如果带有TPM的PC死机,并且您必须从另一个系统访问该驱动器。

您可以将密钥保存到您的Microsoft帐户 ,USB驱动器,文件,甚至打印。 无论您是对系统还是非系统驱动器进行加密,这些选项都是相同的。

如果您将恢复密钥备份到您的Microsoft帐户,则可以稍后通过https://onedrive.live.com/recoverykey访问该密钥。 如果您使用其他恢复方法,请务必保持此密钥的安全 - 如果有人获得访问权限,他们可以解密您的驱动器并绕过加密。

如果需要,还可以多种方式备份恢复密钥。 只需依次点击您想要使用的每个选项,然后按照指示。 完成保存恢复密钥后,单击“下一步”继续。

注意 :如果您正在加密USB或其他可移动驱动器,则无法将恢复密钥保存到USB驱动器。 您可以使用其他三个选项中的任何一个。

第四步:加密和解锁驱动器

BitLocker在添加新文件时会自动加密新文件,但您必须选择驱动器上当前文件所发生的情况。 您可以对整个驱动器(包括可用空间)进行加密,或者只是对使用的磁盘文件进行加密,以加快进程速度。 无论您是加密系统还是非系统驱动器,这些选项都是相同的。

如果您在新电脑上安装BitLocker,则只需要对使用的磁盘空间进行加密 - 速度会更快。 如果您在已使用一段时间的PC上设置BitLocker,则应对整个驱动器进行加密,以确保没有人能够恢复已删除的文件

当你做出选择时,点击“下一步”按钮。

第五步:选择加密模式(仅适用于Windows 10)

如果您使用的是Windows 10,则会看到一个额外的屏幕让您选择加密方法。 如果您使用的是Windows 7或Windows 8,请跳到下一步。

Windows 10引入了一种名为XTS-AES的新加密方法。 它提供了增强的完整性和性能超过Windows 7和8中使用的AES。如果您知道您正在加密的驱动器只能在Windows 10 PC上使用,请继续并选择“新加密模式”选项。 如果您认为某些时候您可能需要在较旧版本的Windows上使用该驱动器(尤其重要的是,如果它是可移动驱动器),请选择“兼容模式”选项。

无论您选择哪个选项(对于系统驱动器和非系统驱动器,这些选项都是一样的),完成后单击“Next”按钮,在下一个屏幕上单击“Start Encrypting”按钮。

第六步:完成

加密过程可能需要几秒到几分钟甚至更长的时间,具体取决于硬盘大小,加密的数据量以及是否选择加密可用空间。

如果您正在加密系统驱动器,系统会提示您运行BitLocker系统检查并重新启动系统。 确保选择该选项,单击“继续”按钮,然后在询问时重新启动PC。 PC首次启动后,Windows会加密驱动器。

如果您正在加密非系统或可移动驱动器,则Windows不需要重新启动,并立即开始加密。

无论您正在加密哪种类型的驱动器,都可以检查系统托盘中的“BitLocker驱动器加密”图标以查看其进度,并且可以在驱动器正在加密的情况下继续使用计算机 - 这样做的执行速度会更慢。

解锁您的驱动器

如果您的系统驱动器已加密,解锁取决于您选择的方法(以及您的PC是否具有TPM)。 如果你有一个TPM,并选择自动解锁驱动器,你将不会注意到任何不同的东西 - 你会像往常一样直接进入Windows。 如果您选择了另一种解锁方法,Windows会提示您解锁驱动器(通过输入密码,连接USB驱动器或其他)。

bitlocker-unlock-prompt-at-boot

如果您丢失(或忘记)了解锁方法,请在提示屏幕上按Escape 键输入您的恢复密钥

如果您已经对非系统或可移动驱动器进行了加密,则Windows在启动Windows(或将其连接到PC时,如果它是可移动驱动器)第一次访问它时,系统会提示您解锁该驱动器。 输入您的密码或插入您的智能卡,驱动器应解锁,以便您可以使用它。

在文件资源管理器中,加密的驱动器在图标上(左侧)显示黄金锁定。 该锁变为灰色,并且在解锁驱动器(右侧)时出现解锁状态。

您可以管理锁定的驱动器 - 从BitLocker控制面板窗口更改密码,关闭BitLocker,备份恢复密钥或执行其他操作。 右键单击任何加密的驱动器,然后选择“管理BitLocker”直接进入该页面。


与所有加密一样,BitLocker也会增加一些开销。 微软官方的BitLocker常见问题解答说:“通常它会产生一位数的百分比性能开销。”如果加密对于你来说很重要,因为你有敏感的数据,例如一台装满商业文档的笔记本电脑,增强的安全性就值得性能交易-off。

如何在Windows上设置BitLocker加密

bitlocker-locked-drive-icon

Windows可以通过内置的BitLocker加密来加密整个操作系统驱动器和可移动设备。 TrueCrypt有争议地关闭商店时,他们建议他们的用户从TrueCrypt转换到BitLocker。

BitLocker驱动器加密和BitLocker To Go需要专业版或企业版的Windows 8或8.1或10或Windows 7的Ultimate版本。但是, Windows 8.1的“核心”版本包括类似的“设备加密”功能

为驱动器启用BitLocker

要启用BitLocker,请打开控制面板并导航到系统和安全> BitLocker驱动器加密。 您还可以打开Windows资源管理器或文件资源管理器,右键单击驱动器,然后选择打开BitLocker。 如果您没有看到此选项,则说明您没有正确的Windows版本。

Windows_10

单击操作系统驱动器,内部驱动器(“固定数据驱动器”)或可移动驱动器旁边的打开BitLocker选项以为驱动器启用BitLocker。

在此可以启用两种类型的BitLocker加密:

  • BitLocker驱动器加密 :有时称为BitLocker,这是一个“全盘加密”功能,将加密整个驱动器。 当计算机启动时,Windows启动加载程序从系统保留分区加载,并且引导加载程序将提示您输入解锁方法 - 例如密码。 然后BitLocker将解密驱动器并加载Windows。 加密是透明的 - 您的文件将像通常在未加密的系统上一样显示,但它们以加密形式存储在磁盘上。 您还可以加密计算机中的其他驱动器,而不仅仅是操作系统驱动器。
  • BitLocker To Go :外部驱动器(例如USB闪存驱动器和外部硬盘驱动器)可以使用BitLocker To Go进行加密。 当您将驱动器连接到计算机时,系统会提示您输入解锁方法(例如密码)。 如果有人没有解锁方法,他们无法访问驱动器上的文件。

bitlocker-drive-encryption[4]

在没有TPM的情况下使用BitLocker

如果启用BitLocker的PC没有可信平台模块(TPM),您将看到一条消息,指出您的管理员必须设置“允许BitLocker没有兼容的TPM”选项。

BitLocker驱动器加密通常需要具有TPM的计算机来保护操作系统驱动器。 这是一个内置在计算机中的微芯片,安装在主板上。 BitLocker可以在这里存储加密密钥,这比将它们简单地存储在计算机的数据驱动器上更安全。 TPM将仅在验证计算机的状态后提供加密密钥。 攻击者不能只撕下您计算机的硬盘或创建加密磁盘的映像,并在另一台计算机上解密。

bitlocker-cant-use-a-trusted-platform-module

如果您在自己的计算机上执行此操作,则您是计算机的管理员。 您只需打开“ 本地组策略编辑器”应用程序并更改此设置即可。

按Windows键+ R打开运行对话框,键入gpedit.msc ,并按Enter键。 导航到计算机配置\管理模板\ Windows组件\ BitLocker驱动器加密\操作系统驱动器。 双击“启动时需要额外身份验证”设置,选择启用,然后选中“允许不带兼容TPM的BitLocker”选项。 单击“确定”保存新设置。

use-bitlocker-to-encrypt-system-drive-withotu-tpm

选择解锁方法

接下来,您将看到“选择如何在启动时解锁驱动器”屏幕。 您可以选择几种不同的解锁方式。 如果计算机没有TPM,您可以使用密码解锁驱动器,或插入用作键的特殊USB闪存驱动器。

如果您的计算机有TPM,您将有其他选项。 例如,您可以在启动时配置自动解锁 - 您的计算机将从TPM获取加密密钥并自动解密驱动器。 您也可以通过其他方式确保安全 - 例如,您可以在启动时提供PIN码。 该PIN将解锁存储在TPM中的强解密密钥并解锁驱动器。

选择您首选的解锁选项,然后按照下一屏幕中的说明进行设置。

bitlocker-drive-encryption-choose-how-to-unlock-your-drive-at-startup

备份您的恢复密钥

BitLocker将为您提供恢复密钥。 如果您丢失了主密钥,则可以使用此密钥访问加密的文件 - 例如,如果您忘记了密码或者如果使用TPM的计算机死机,则必须删除驱动器。

您可以将密钥保存到文件,打印,存储在USB闪存驱动器上,或将其保存到Windows 8和8.1上的Microsoft帐户。 如果您将恢复密钥备份到Microsoft帐户,则可以稍后通过https://onedrive.live.com/recoverykey访问密钥。 一定要保持这个密钥安全 - 如果有人获得您的密钥,他们可以解密您的驱动器,绕过加密。 您可能希望在多个位置备份它 - 如果您失去此恢复密钥和您的主要解锁方法,您的加密文件将永远丢失。

bitlocker-drive-encryption-how-do-you-want-to-back-up-your-recovery-key

加密和解锁驱动器

BitLocker将在您添加新文件时自动加密,但是您需要选择驱动器上当前文件发生的情况。 您可以加密整个驱动器 - 包括可用空间,或只是加密使用的磁盘文件,以加快进程。

如果您在新电脑上设置BitLocker,仅加密使用的磁盘空间 - 速度更快。 如果您在使用了一段时间的PC上设置BitLocker,则应对整个驱动器加密,以确保没有人可以恢复已删除的文件 只加密使用的磁盘空间更快,而加密整个驱动器需要更长的时间。

系统将提示您运行BitLocker系统检查并重新启动计算机。 计算机第一次启动后,驱动器将被加密。 检查系统托盘中的BitLocker驱动器加密图标,以查看其进度。 您可以在加密时继续使用计算机,但它的执行速度较慢。

bitlocker-choose-how-much-of-your-drive-to-encrypt

当计算机启动时,如果需要输入密码,PIN或插入USB闪存驱动器,您将看到BitLocker提示。

如果您失去了解锁方法,请按这里退出。 您可以输入恢复密钥。

bitlocker-unlock-prompt-at-boot

如果您选择使用BitLocker To Go加密可移动驱动器,您将看到类似的向导,但您的驱动器将被加密,不需要任何重新启动。 在加密驱动器时,不要取出驱动器。

bitlocker-to-go

将驱动器连接到计算机时,系统将提示您提供您选择的解锁可移动设备的密码或智能卡。 使用BitLocker保护的驱动器在Windows资源管理器或文件资源管理器中用锁定图标标识。

bitlocker-to-go-enter-password-to-unlock-drive

您可以从BitLocker控制面板窗口管理锁定的驱动器 - 更改密码,关闭BitLocker,备份恢复密钥或执行其他操作。 右键单击加密的驱动器并选择管理BitLocker直接转到它。

manage-bitlocker-in-control-panel


像所有的加密,BitLocker的确增加了一些开销。 Microsoft的官方BitLocker常见问题解答说,“一般来说,它强加了一位数百分比的性能开销。”如果加密对您很重要,因为您有敏感数据 - 例如,一台笔记本电脑充满业务文档 - 值得性能折衷。

赞 (0)
分享到:更多 ()