启用BitLocker加密，Windows将在您每次使用大多数现代计算机中内置的TPM启动计算机时自动解锁您的驱动器。但你可以将任何USB闪存驱动器设置为“启动密钥”，该密钥必须在启动时存在，然后你的电脑才能解密其驱动器并启动Windows。

这有效地将双因素身份验证添加到BitLocker加密。无论何时启动计算机，都需要提供USB密钥才能解密。这对于您在钥匙链上随身携带的小型USB驱动器特别有用。

相关：如何在Windows上设置BitLocker加密

第一步：启用BitLocker(如果您尚未启用)

显然，这需要BitLocker驱动器加密，这意味着它只适用于Windows的专业版和企业版。在执行以下任何步骤之前，您需要从控制面板在系统驱动器上启用BitLocker加密。

如果您特意在没有TPM的PC上启用BitLocker，您可以选择创建USB启动密钥作为安装过程的一部分。这将用来代替TPM。只有在装有TPM的计算机上启用BitLocker时，才需要执行以下步骤，而大多数现代计算机都有TPM。

如果您使用的是Windows家庭版，您将无法使用BitLocker。您可能会转而使用设备加密功能，但这与BitLocker的工作方式不同，不允许您提供启动密钥。

第二步：在组策略编辑器中启用启动密钥

启用BitLocker后，您需要在Windows的组策略中启用启动密钥要求。要打开组策略编辑器，请按键盘上的Windows+R，在运行对话框中键入“gpedit.msc”，然后按Enter键。

在“组策略”窗口中转到“计算机配置”>“管理模板”>“Windows组件”>“BitLocker驱动器加密”>“操作系统驱动器”。

双击右窗格中的“启动时需要额外身份验证”选项。

在此处窗口顶部选择“Enabled”(启用)。然后，单击“Configure TPM to Startup Key”(配置TPM启动密钥)下的框，并选择“Required Startup Key with TPM”(需要使用TPM启动密钥)选项。单击“确定”保存您的更改。

第三步：为您的驱动器配置启动密钥

现在，您可以使用Manage-bde命令为您的BitLocker加密驱动器配置USB驱动器。

首先，将USB驱动器插入计算机。请注意下面屏幕截图中的USB驱动器盘符-D：。Windows会将一个小的.bek文件保存到驱动器中，这样它就会成为您的启动密钥。

接下来，以管理员身份启动命令提示符窗口。在Windows 10或8上，右键单击开始按钮，然后选择“命令提示符(管理员)”。在Windows 7中，在开始菜单中找到“命令提示符”快捷方式，右键单击它，然后选择“以管理员身份运行”

运行以下命令。下面的命令适用于您的C：驱动器，因此如果您想要另一个驱动器的启动密钥，请输入其驱动器号，而不是c：。您还需要输入要用作启动密钥的已连接USB驱动器的驱动器号，而不是x：。

密钥将作为文件扩展名为.bek的隐藏文件保存到USB驱动器。如果显示隐藏文件，则可以看到它。

下次从计算机启动时，系统会要求您插入USB驱动器。小心密钥-从您的USB驱动器复制密钥的人可能会使用该副本来解锁您的BitLocker加密驱动器。

要再次检查是否正确添加了TPMAndStartupKey保护器，可以直接运行以下命令：

(此处显示的“数字密码”密钥保护器是您的安全恢复密钥。)

如何删除启动密钥要求

如果您改变主意并希望以后停止需要启动密钥，则可以撤消此更改。首先，返回到组策略编辑器，并将选项改回“允许使用TPM启动密钥”。您不能将选项设置为“需要使用TPM的启动密钥”，否则Windows不允许您从驱动器中删除启动密钥要求。

接下来，以管理员身份打开命令提示符窗口并运行以下命令(如果您使用的是其他驱动器，请再次替换c：)：

这将用“TPM”要求替换“TPMandStartupKey”要求，删除PIN。启动时，BitLocker驱动器将通过计算机的TPM自动解锁。

要检查此操作是否成功完成，请再次运行status命令：

请先尝试重新启动计算机。如果一切正常，并且您的计算机不需要USB驱动器启动，您可以自由格式化驱动器或直接删除BEK文件。你也可以把它留在你的驱动器上--那个文件实际上什么也做不了。

如果您丢失了启动密钥或从驱动器中删除了.bek文件，则需要提供系统驱动器的BitLocker恢复代码。当您为系统驱动器启用BitLocker时，您应该已将其保存在安全的位置。

图片来源：托尼·奥斯汀/Flickr