Windows的BitLocker加密默认为128位AES加密，但您可以选择使用256位AES加密。使用256位AES密钥可能会提供更高的安全性，以防将来试图访问您的文件。

这真的更安全吗？嗯，这是一个值得商榷的问题。您可能天真地认为256位加密提供了更高的安全性，但事实并非如此清楚。

256位AES加密是否更安全？

相关：如何在Windows上设置BitLocker加密

现在，这是一个复杂的话题。普遍的看法是，AES 128和AES 256实际上提供了大致相同的安全性。强行实施128位AES加密将需要很长时间，以至于256位AES加密并不能真正提供有意义的额外安全性。例如，如果暴力强制128位AES需要一千万亿年的时间，那么暴力强制256位AES可能需要更长的时间，这真的很重要吗？就所有现实目的而言，它们都是同样安全的。

但事情并没有那么简单。NSA要求将128位密钥用于标记为机密的数据，而将256位密钥用于标记为最高机密的数据。美国国家安全局显然认为256位AES加密更安全。一个负责破解加密的秘密政府机构是否知道一些我们不知道的事情，或者这只是一个愚蠢的政府官僚机构的案例？

我们没有资格在这件事上下定论。Agile Bits在他们的博客文章中非常深入地研究了为什么他们将1Password密码管理器从128位AES迁移到256位AES的主题。美国国家安全局显然考虑对未来的量子计算技术提供256位AES加密保护，这些技术可能会更快地破解加密。

为BitLocker选择256位AES加密

让我们假设您已经决定宁愿使用256位AES，或者您可能是一名拥有标记为最高机密的文档的NSA员工，您必须这样做。请记住，256位AES将比128位AES慢，尽管这种性能差异在更快的计算机硬件中变得不那么明显。

此设置隐藏在组策略中，如果您的计算机不是域的一部分，则可以在您自己的计算机上调整组策略。按Windows键+R打开Run对话框，在其中键入gpedit.msc，然后按Enter键打开本地组策略编辑器。

导航到计算机配置\管理模板\Windows组件\BitLocker驱动器加密。双击“选择驱动器加密方法和密码强度”设置。

选择Enabled(启用)，单击下拉框，然后选择AES 256-Bit(AES 256位)。单击确定保存您的更改。

BitLocker现在在创建新卷时将使用256位AES加密。此设置仅适用于启用BitLocker的新卷。任何现有的BitLocker卷都将继续使用128位AES。

将128位AES卷转换为256位AES加密

相关：如何在Windows上使用BitLocker创建加密容器文件

BitLocker不提供将现有BitLocker卷转换为不同加密方法的方法。您可以通过解密驱动器，然后使用BitLocker重新加密来自行完成此操作。BitLocker在设置时将使用256位AES加密。

为此，请右键单击加密驱动器，然后选择管理BitLocker或导航到控制面板中的BitLocker窗格。单击加密卷下的关闭BitLocker链接。

允许Windows解密驱动器。完成后，通过右键单击该卷并选择打开BitLocker或单击控制面板窗口中的打开BitLocker，重新启用该卷的BitLocker。完成正常的BitLocker设置过程。

检查您的BitLocker卷的加密方法

您需要一个特殊命令来查看驱动器使用的是128位AES还是256位AES加密。

首先，以管理员身份打开命令提示符窗口。在Windows 8.1或8上，右键单击屏幕左下角或按Windows键+X并选择命令提示符(管理员)。在Windows 7上，打开“开始”菜单，搜索“命令提示符”，右键单击“命令提示符”快捷方式，然后选择“以管理员身份运行”。

在命令提示符窗口中键入以下命令，然后按Enter键：

您将看到有关计算机上每个加密的BitLocker驱动器的信息，包括其加密方法。在驱动器下的“Encryption Method(加密方法)”右侧查找“AES 128”或“AES 256”。

无论组策略设置如何，您设置的驱动器之后都将继续使用AES 128或AES 256加密。该设置仅影响Windows在设置新的BitLocker卷时使用的加密方法。

图片来源：Flickr上的米开朗基罗·卡列里(Michelangelo Carrieri)