BitLocker是Windows内置的工具,可用于加密整个硬盘以增强安全性。下面是如何设置它。
当TrueCrypt有争议地关闭商店时,他们建议他们的用户从TrueCrypt过渡到使用BitLocker或VeraCrypt。BitLocker在Windows中已经存在了足够长的时间,足以被认为是成熟的,而且是一款受到安全专业人士普遍好评的安全加密产品。在本文中,我们将讨论如何在您的PC上设置它。
相关:您是否应该升级到Windows 10专业版?
注意:BitLocker Drive Encryption和BitLocker To Go需要Windows 8或10的专业版或企业版,或者Windows 7的旗舰版。但是,从Windows 8.1开始,Windows的家庭版和专业版都包含一个工作原理相似的“设备加密”功能(Windows 10中也包括这一功能)。如果您的计算机支持设备加密,我们建议您将BitLocker用于无法使用设备加密的专业用户,将VeraCrypt用于使用Windows家庭版且设备加密不起作用的用户。
加密整个驱动器还是创建加密容器?
许多指南都谈到创建一个BitLocker容器,它的工作方式与您可以使用TrueCrypt或VeraCrypt等产品创建的加密容器非常相似。这有点用词不当,但你可以达到类似的效果。BitLocker通过加密整个驱动器来工作。它可以是您的系统驱动器、不同的物理驱动器或作为文件存在并挂载在Windows中的虚拟硬盘(VHD)。
相关:如何在Windows上使用BitLocker创建加密容器文件
区别在很大程度上是语义上的。在其他加密产品中,您通常会创建一个加密容器,然后在需要使用时将其作为驱动器挂载到Windows中。使用BitLocker,您可以创建虚拟硬盘,然后对其进行加密。如果您想使用容器,而不是加密现有系统或存储驱动器,请查看我们的使用BitLocker创建加密容器文件的指南。
对于本文,我们将专注于为现有实体驱动器启用BitLocker。
如何使用BitLocker加密驱动器
相关:如何在没有可信平台模块(TPM)的情况下使用BitLocker
要将BitLocker用于驱动器,您真正需要做的就是启用它,选择一种解锁方法-密码、PIN等-然后设置其他几个选项。然而,在我们开始之前,您应该知道,在系统驱动器上使用BitLocker的全磁盘加密通常需要在PC主板上安装有可信平台模块(TPM)的计算机。此芯片生成并存储BitLocker使用的加密密钥。如果你的电脑没有TPM,你可以使用组策略来启用在没有TPM的情况下使用BitLocker。这有点不安全,但仍然比根本不使用加密更安全。
您可以在没有TPM且不必启用组策略设置的情况下加密非系统驱动器或可移动驱动器。
关于这一点,您还应该知道,您可以启用两种类型的BitLocker驱动器加密:
BitLocker驱动器加密:有时简称为BitLocker,这是一种“全磁盘加密”功能,可对整个驱动器进行加密。当您的PC启动时,Windows引导加载程序将从系统保留分区加载,并且引导加载程序会提示您输入解锁方法,例如密码。然后,BitLocker解密驱动器并加载Windows。加密在其他方面是透明的-您的文件看起来就像它们通常在未加密的系统上一样,但它们以加密的形式存储在磁盘上。您还可以加密系统驱动器以外的其他驱动器。 BitLocker To Go:您可以使用BitLocker To Go对外部驱动器(如USB闪存驱动器和外部硬盘驱动器)进行加密。当您将驱动器连接到计算机时,系统将提示您输入解锁方法,例如密码。如果某人没有解锁方法,他们将无法访问驱动器上的文件。
在Windows7到Windows10中,你真的不必担心自己做出选择。Windows在幕后处理事务,您将用来启用BitLocker的界面看起来没有什么不同。如果你最终解锁了Windows XP或Vista上的加密驱动器,你会看到BitLocker to Go品牌推广,所以我们认为你至少应该知道这一点。
所以,说到这里,让我们来看看它是如何实际工作的。
第一步:为驱动器启用BitLocker
为驱动器启用BitLocker的最简单方法是在文件资源管理器窗口中右键单击该驱动器,然后选择“打开BitLocker”命令。如果您没有在上下文菜单上看到此选项,那么您可能没有Windows的专业版或企业版,您需要寻求其他加密解决方案。
就这么简单。弹出的向导将引导您选择几个选项,我们已将这些选项分为以下几个部分。
第二步:选择解锁方法
您将在“BitLocker Drive Encryption”向导中看到的第一个屏幕允许您选择如何解锁驱动器。您可以选择几种不同的解锁驱动器的方式。
如果你在没有TPM的计算机上加密系统驱动器,你可以使用密码或用作密钥的USB驱动器解锁该驱动器。选择您的解锁方法,然后按照该方法的说明操作(输入密码或插入USB驱动器)。
相关:如何在Windows上启用预引导BitLocker PIN
如果您的计算机确实有TPM,您将看到用于解锁系统驱动器的其他选项。例如,您可以配置在启动时自动解锁(您的计算机从TPM获取加密密钥并自动解密驱动器)。你也可以使用PIN而不是密码,甚至可以选择指纹等生物识别选项。
如果您正在加密非系统驱动器或可移动驱动器,您将只看到两个选项(无论您是否有TPM)。您可以使用密码或智能卡(或同时使用两者)解锁驱动器。
第三步:备份恢复密钥
BitLocker为您提供了一个恢复密钥,在您丢失主密钥时(例如,如果您忘记了密码或安装了TPM的PC死机,您必须从另一个系统访问驱动器),您可以使用该密钥访问加密文件。
您可以将密钥保存到您的Microsoft帐户、USB驱动器、文件,甚至可以打印它。无论您加密的是系统驱动器还是非系统驱动器,这些选项都是相同的。
如果您将恢复密钥备份到您的Microsoft帐户,则可以稍后在https://onedrive.live.com/recoverykey.访问该密钥。如果您使用其他恢复方法,请确保此密钥的安全-如果有人获得它的访问权限,他们可能会解密您的驱动器并绕过加密。
如果需要,您还可以通过多种方式备份恢复密钥。只需依次单击要使用的每个选项,然后按照说明操作即可。保存完恢复密钥后,单击“下一步”继续。
注意:如果您正在加密USB或其他可移动驱动器,您将无法选择将恢复密钥保存到USB驱动器。您可以使用其他三个选项中的任何一个。
第四步:加密和解锁驱动器
BitLocker会在您添加新文件时自动对其进行加密,但您必须选择如何处理驱动器上当前的文件。您可以加密整个驱动器(包括可用空间),或者只加密使用过的磁盘文件以加快该过程。无论您加密的是系统驱动器还是非系统驱动器,这些选项都是相同的。
相关:如何恢复已删除的文件:旗舰指南
如果您要在一台新PC上设置BitLocker,请仅加密已使用的磁盘空间-这要快得多。如果你在已经使用了一段时间的电脑上设置BitLocker,你应该加密整个驱动器,以确保没有人可以恢复删除的文件。
做出选择后,单击“下一步”按钮。
第五步:选择加密模式(仅限Windows 10)
如果你使用的是Windows10,你会看到一个额外的屏幕,让你选择一种加密方法。如果您使用的是Windows 7或8,请跳到下一步。
Windows10引入了一种名为XTS-AES的新加密方法。与Windows 7和Windows 8中使用的AES相比,它提供了更高的完整性和性能。如果您知道您要加密的驱动器只在Windows 10 PC上使用,请继续操作并选择“新加密模式”选项。如果您认为在某个时候可能需要将该驱动器与较旧版本的Windows一起使用(如果它是可移动驱动器,则尤为重要),请选择“兼容模式”选项。
无论您选择哪个选项(同样,系统驱动器和非系统驱动器也是如此),完成后继续单击“下一步”按钮,然后在下一个屏幕上单击“开始加密”按钮。
第六步:收尾
加密过程可能需要几秒钟到几分钟甚至更长时间,具体取决于驱动器的大小、要加密的数据量以及您是否选择加密可用空间。
如果您正在加密系统驱动器,系统将提示您运行BitLocker系统检查并重新启动系统。确保选择该选项,单击“继续”按钮,然后在系统询问时重新启动电脑。*电脑首次启动后,Windows会对驱动器进行加密。
如果您正在加密非系统驱动器或可移动驱动器,Windows不需要重新启动,加密将立即开始。
无论您加密的是哪种类型的驱动器,您都可以检查系统托盘中的BitLocker驱动器加密图标以查看其进度,并且您可以在加密驱动器的同时继续使用您的计算机-它只会运行得更慢。
解锁您的驱动器
如果您的系统驱动器已加密,解锁取决于您选择的方法(以及您的电脑是否安装了TPM)。如果您有TPM并选择自动解锁驱动器,您将不会注意到任何不同之处-您将一如既往地直接引导到Windows。如果您选择其他解锁方法,Windows会提示您解锁驱动器(通过键入密码、连接USB驱动器或其他方式)。
相关:如何从BitLocker加密驱动器恢复文件
如果您丢失(或忘记)解锁方法,请在提示屏幕上按Esc键输入恢复密钥。
如果您加密了非系统驱动器或可移动驱动器,当您在启动Windows后首次访问该驱动器时(或如果它是可移动驱动器,则当您将其连接到您的电脑时),Windows会提示您解锁该驱动器。键入您的密码或插入智能卡,驱动器应解锁,以便您可以使用它。
在文件资源管理器中,加密驱动器的图标(左侧)上显示一个金色锁。当您解锁驱动器(右侧)时,该锁将变为灰色,并显示为解锁状态。
您可以从BitLocker控制面板窗口管理锁定的驱动器-更改密码、关闭BitLocker、备份恢复密钥或执行其他操作。右键单击任何加密驱动器,然后选择“管理BitLocker”直接转到该页面。
与所有加密一样,BitLocker确实增加了一些开销。微软官方的BitLocker常见问题解答(FAQ)说,“一般来说,它会强加个位数的性能开销百分比。”如果加密对您很重要,因为您拥有敏感数据-例如,一台装满业务文档的笔记本电脑-增强的安全性是非常值得进行性能权衡的。