比特派官方版app下载|bitlocker _比特派(Bitpie)官网-比特派钱包app官方下载-bitpie官网下载app

在 Windows 中查找 BitLocker 恢复密钥 - Microsoft 支持

跳转至主内容

Microsoft

支持

主页

Microsoft 365

Office

产品

Microsoft 365

Outlook

Microsoft Teams

OneDrive

OneNote

Windows

Microsoft Edge

更多信息 ...

设备

Surface

电脑配件

移动体验

Xbox

PC 游戏

HoloLens

硬件保修

帐户和计费

帐户

Microsoft Store 和计费

资源

新增功能

社区论坛

Microsoft 365 管理员

小型企业门户

开发人员

教育

上报支持欺诈

购买 Microsoft 365

所有 Microsoft

Global

Microsoft 365

Teams

Windows

Surface

Xbox

折扣专区

企业购

支持

软件

Windows 应用

OneDrive

Outlook

Skype

OneNote

Microsoft Teams

PC 和设备

购买 Xbox

PC 和平板电脑

配件

娱乐

Xbox 与游戏

PC 游戏

企业

Microsoft Cloud

Microsoft 安全

Azure

Dynamics 365

Microsoft 365 商业版

Microsoft 行业

Microsoft Power Platform

开发人员与 IT

开发人员中心

文档

Microsoft Learn

Microsoft 技术社区

Azure 市场

AppSource

Visual Studio

其他

免费下载与安全性

教育

查看站点地图

搜索

搜索帮助

无结果

取消

使用 Microsoft 登录

登录或创建帐户。

你好，

使用其他帐户。

你有多个帐户

选择要登录的帐户。

在 Windows 中查找 BitLocker 恢复密钥

Windows 11 Windows 10 更多...更少

如果系统要求你提供 BitLocker 恢复密钥，以下信息可以帮助你找到恢复密钥，并了解系统要求你提供恢复密钥的原因。

重要:

Microsoft 支持人员无法提供或重新创建丢失的 BitLocker 恢复密钥。

我可以从哪里找到 BitLocker 恢复密钥？

BitLocker 可能确保在激活保护之前安全备份恢复密钥。你的恢复密钥可能在多个位置，具体取决于激活 BitLocker 时所做的选择：

播放视频时遇到问题？在 YouTube 上观看。

在 Microsoft 帐户中：在另一台设备上打开 Web 浏览器。转到 https://account.microsoft.com/devices/recoverykey 查找恢复密钥。

提示: 可以在具有 Internet 访问权限的任何设备（如智能手机）上登录到 Microsoft 帐户。

它应如下所示：

注意: 如果设备已由其他人设置或 BitLocker 已打开，则恢复密钥可能位于该用户的 Microsoft 帐户中。

在打印输出上：激活 BitLocker 时，你可能已打印恢复密钥。在存放与你的计算机相关的重要文件的位置查找。

在 U 盘上：将 U 盘插入锁定的电脑，然后按照说明进行操作。如果你已在 U 盘上将密钥另存为文本文件，则使用另一台计算机阅读此文本文件。

在工作或学校帐户中：如果设备曾使用工作或学校电子邮件帐户登录到组织，则恢复密钥可能存储在该组织的 Azure AD 帐户中。你可以直接访问它，或者可能需要联系该组织的 IT 支持人员才能访问恢复密钥。

提示: 在 COVID 期间，我们看到许多客户突然在家工作或上学，并可能被要求从其个人电脑登录工作或学校帐户。如果这也是你的经验，那么你的工作或学校可能拥有 BitLocker 恢复密钥的副本。

由系统管理员持有：如果设备连接到域 (通常是工作或学校设备) ，请向系统管理员询问恢复密钥。

重要:

如果找不到 BitLocker 恢复密钥，并且无法还原任何可能导致需要该密钥的配置更改，则需要使用 Windows 恢复选项之一重置设备。重置你的设备将删除所有文件。

Microsoft 支持人员无法提供或重新创建丢失的 BitLocker 恢复密钥。

有关详细信息，请单击下面的标题

我的 BitLocker 恢复密钥是什么？

BitLocker 恢复密钥是唯一的 48 位数字密码，如果 BitLocker 无法确认访问系统驱动器的尝试是否已经过授权，可以使用该密钥解锁系统。

为什么 Windows 会询问我的 BitLocker 恢复密钥？

BitLocker 是 Windows 加密技术，它通过加密驱动器并要求一个或多个身份验证因素才能解锁驱动器来保护数据免受未经授权的访问。

Windows 在检测到可能未经授权的访问数据尝试时，需要 BitLocker 恢复密钥。此额外步骤是一种安全预防措施，旨在确保数据的安全。如果在 BitLocker 无法与可能的攻击区分开来的硬件、固件或软件中进行更改，也可能会发生这种情况。在这些情况下，BitLocker 可能需要更高的恢复密钥安全性，即使该用户是设备的授权所有者也是如此。这是为了确保尝试解锁数据的人员确实已获得授权。

如何在我的设备上激活 BitLocker？

BitLocker 通过三种常用方法保护你的设备：

你的设备是满足自动启用设备加密的某些要求的新式设备：在这种情况下，在激活保护之前，BitLocker 恢复密钥会自动保存到 Microsoft 帐户。

个人设备的所有者或管理员激活了 BitLocker (在某些设备上也称为设备加密，) 通过“设置”应用或控制面板：在这种情况下，激活 BitLocker 的用户选择了保存密钥的位置，或者在设备加密的情况下选择 (，) 自动将密钥保存到其 Microsoft 帐户。

管理设备的工作或学校组织 (当前或过去) 已在设备上激活 BitLocker 保护：在这种情况下，组织可能具有 BitLocker 恢复密钥。

windows自带磁盘加密工具BitLocker用法详细讲解 - 知乎

windows自带磁盘加密工具BitLocker用法详细讲解 - 知乎切换模式写文章登录/注册windows自带磁盘加密工具BitLocker用法详细讲解IT小哥专注IT行业相关实用经验技巧的发布前言网上的磁盘加密工具很多，一方面收费，另一方面并不能保证其安全性，今天我们来了解下windows自带的磁盘加密（BitLocker），优点安全、免费。缺点：彻底解密耗费时间。BitLocker是从windows vista系统开始集成的，Win7、Win10、Win11都带有。现在电脑安装的系统普遍都是Win10,那么接下来以Win10环境来演示下怎么个用法。如何加密1、开始——设置，进入设置面板。也可以按Windows+i打开设置面板。2、设置面板搜索框中输入bit,点击管理BitLocker，进入BitLocker驱动器加密窗口。3、想要加密那个盘，就在那个盘下面点击"启用BitLocker"我这边有C盘和D盘两个盘，C盘为系统盘这个不建议大家加密，因为没啥用。一般加密你的数据盘，数据盘里可能放有照片或者小电影、或者商业机密文件。这边D盘为我的数据盘，所以我在D盘下面点击“启用BitLocker”4、勾选“使用密码解锁驱动器”，输入密码，点击“下一页”。说明1：智能卡还需购买，想省省，咱们就用传统的密码加密就行。另外智能卡未必比密码加密稳定，有些情况下会出现找不到加密卡。说明2：密码要求：包含大小写字母、数字、符号，建议自己备注一下这个密码，以防万一。如下图所示，会报密码不符合。关于这个恢复密钥是你忘记密码需要解锁文件用到，这个一定要保存好。如果你电脑登陆有微软账号就选“保存到Microsoft账户”，这样相当保存到云端了，不容易丢。如果没有可以选择保存到文件或者打印恢复密钥。一般选择保存到文件，5、点击 “保存到文件”6、选择路径——点击“保存”说明：路径选择非加密磁盘，可以是其它盘，也可以是U盘，或者是云盘。我这边演示直接放桌面了。7、点击“下一页”8、勾选第二项——点击“下一页”说明：如果要加密地盘是空盘建议勾选第一项，如果已经有数据建议选择第二项“加密整个驱动器”，速度比较慢，需要耐心等待。9、勾选第一项“新加密模式”——点击“下一页”说明：如果你是本地硬盘加密建议用新加密模式，如果你是移动硬盘勾选第2项“兼容模式”，如果你是本地硬盘有可能拆下来安装到其它电脑建议也勾选“兼容模式”。10、点击“开始加密”，微软设计的步骤安全但是繁琐，终于到加密这一步了，如果是第三方加密工具，可能已经加密完了，呵呵。11、正在加密中……耐心等待。12、点击“关闭”，加密完成。150多M用了大约5分钟加密，我滴神呀。13、加密后，磁盘驱动器上会显示一把没有上的锁，这时驱动器是可以打开的。14、我们需要重启电脑，驱动器锁会彻底锁上，需要输入密码或者验证密钥才能打开。如何解密方法1：双击盘符——输入密码——解锁方法2：双击盘符——更多选项——点击“输入恢复密钥”打开之前备份的密钥文本——复制恢复密钥粘贴到密钥填写框中——解密文章到此结束，感谢大家的阅读。编辑于 2022-01-16 18:48数据加密赞同 6315 条评论分享喜欢收藏申请

BitLocker 操作指南 - Windows Security | Microsoft Learn

跳转至主内容

此浏览器不再受支持。

请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。

下载 Microsoft Edge

有关 Internet Explorer 和 Microsoft Edge 的详细信息

退出焦点模式

使用英语阅读

保存

使用英语阅读

保存

打印

Twitter

Facebook

电子邮件

BitLocker 操作指南

项目

11/11/2023

2 个参与者

适用于:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

反馈

本文内容

可通过不同的工具和选项来管理和操作 BitLocker：

BitLocker PowerShell 模块

BitLocker 驱动器加密工具

控制面板

BitLocker 驱动器加密工具和 BitLocker PowerShell 模块可用于执行可通过 BitLocker 控制面板完成的任何任务。它们适用于自动部署和其他脚本方案。

BitLocker 控制面板小程序允许用户执行基本任务，例如在驱动器上打开 BitLocker 以及指定解锁方法和身份验证方法。 BitLocker 控制面板小程序适用于基本 BitLocker 任务。

本文介绍 BitLocker 管理工具及其使用方式，并提供实际示例。

BitLocker PowerShell 模块

BitLocker PowerShell 模块使管理员能够轻松地将 BitLocker 选项集成到现有脚本中。有关模块中包含的 cmdlet 列表及其说明和语法，检查 BitLocker PowerShell 参考文章。

BitLocker 驱动器加密工具

BitLocker 驱动器加密工具包括两个命令行工具：

配置工具 (manage-bde.exe) 可用于编写 BitLocker 操作脚本，并提供 BitLocker 控制面板小程序中不存在的选项。有关选项的完整列表 manage-bde.exe ，请参阅 Manage-bde 参考

修复工具 (repair-bde.exe) 对于无法正常解锁受 BitLocker 保护的驱动器或使用恢复控制台的灾难恢复方案非常有用

BitLocker 控制面板小程序

使用 BitLocker 加密卷控制面板 (依次选择“开始”、“”、“BitLocker管理 BitLocker) 将使用 BitLocker 的用户数”。 BitLocker 控制面板小程序的名称是 BitLocker 驱动器加密。小程序支持加密操作系统、固定数据和可移动数据卷。 BitLocker 控制面板根据设备向 Windows 报告自身的方式，按相应类别组织可用驱动器。 BitLocker 控制面板小程序中仅正确显示已分配驱动器号的格式化卷。

在 Windows 资源管理器中使用 BitLocker

Windows 资源管理器允许用户通过右键单击卷并选择“打开 BitLocker”来启动 BitLocker 驱动器加密向导。默认情况下，此选项在客户端计算机上可用。在服务器上，必须先安装 BitLocker 功能和 Desktop-Experience 功能，此选项才能可用。选择“打开 BitLocker”后，向导的工作方式与使用 BitLocker 控制面板启动时完全相同。

检查 BitLocker 状态

若要检查特定卷的 BitLocker 状态，管理员可以在 BitLocker 控制面板小程序、Windows 资源管理器、manage-bde.exe命令行工具或Windows PowerShell cmdlet 中查看驱动器的状态。每个选项提供不同级别的详细信息和易用性。

按照以下说明验证 BitLocker 的状态，选择所选工具。

PowerShell

命令提示符

控制面板

若要确定卷的当前状态，可以使用 Get-BitLockerVolume cmdlet，该 cmdlet 提供有关卷类型、保护程序、保护状态和其他详细信息的信息。例如：

PS C:\> Get-BitLockerVolume C: | fl

ComputerName : DESKTOP

MountPoint : C:

EncryptionMethod : XtsAes128

AutoUnlockEnabled :

AutoUnlockKeyStored : False

MetadataVersion : 2

VolumeStatus : FullyEncrypted

ProtectionStatus : On

LockStatus : Unlocked

EncryptionPercentage : 100

WipePercentage : 0

VolumeType : OperatingSystem

CapacityGB : 1000

KeyProtector : {Tpm, RecoveryPassword}

使用 manage-bde.exe 可以确定目标系统上的卷状态，例如：

manage-bde.exe -status

此命令返回每个卷的目标卷、当前加密状态、加密方法和卷类型 (操作系统或数据) 。

C:\>manage-bde -status

Volume C: [Local Disk]

[OS Volume]

Size: 1000 GB

BitLocker Version: 2.0

Conversion Status: Used Space Only Encrypted

Percentage Encrypted: 100.0%

Encryption Method: XTS-AES 128

Protection Status: Protection On

Lock Status: Unlocked

Identification Field: Unknown

Key Protectors:

TPM

Numerical Password

使用控制面板检查 BitLocker 状态是大多数用户使用的常用方法。打开后，每个卷的状态将显示在卷说明和驱动器号旁边。具有小程序的可用状态返回值包括：

状态

说明

打开

为卷启用了 BitLocker

关闭

未为卷启用 BitLocker

Suspended

BitLocker 已挂起，并且未主动保护卷

正在等待激活

BitLocker 是使用明确的保护程序密钥启用的，需要采取进一步的操作才能受到完全保护

如果驱动器是使用 BitLocker 预先预配的，则卷上会显示“ 正在等待激活 ”状态，并显示黄色感叹号图标。此状态意味着加密卷时只使用了明确的保护程序。在这种情况下，卷未处于受保护状态，需要先将安全密钥添加到卷，然后才能完全保护驱动器。管理员可以使用控制面板、PowerShell 或 manage-bde.exe 添加适当的密钥保护程序。完成后，控制面板更新以反映新状态。

启用 BitLocker

具有 TPM 保护程序的 OS 驱动器

以下示例演示如何在仅使用 TPM 保护程序且不使用恢复密钥的操作系统驱动器上启用 BitLocker：

PowerShell

命令提示符

控制面板

Enable-BitLocker C: -TpmProtector

manage-bde.exe -on C:

从 BitLocker 驱动器加密控制面板小程序：

展开 OS 驱动器，然后选择“打开 BitLocker”选项

出现提示时，选择选项“允许 BitLocker 自动解锁我的驱动器”

使用以下方法之一备份恢复密钥：

保存到Microsoft Entra ID 帐户或 Microsoft 帐户 (（如果适用)

保存到 U 盘

保存到文件 - 需要将文件保存到设备本身之外的位置（例如网络文件夹）

打印恢复密钥

选择“ 下一步”

选择其中一个选项以仅加密已用磁盘空间或加密整个驱动器，然后选择“下一步”

仅加密已用磁盘空间 - 仅加密包含数据的磁盘空间

加密整个驱动器 - 加密整个卷，包括可用空间。也称为完整磁盘加密

建议在以下方案中使用每种方法：

仅加密已用磁盘空间：

驱动器从未有过数据

格式化或擦除的驱动器，这些驱动器过去从未有过加密的机密数据

加密整个驱动器 (完整磁盘加密) ：

当前具有数据的驱动器

当前具有操作系统的驱动器

格式化或擦除的驱动器，这些驱动器过去具有从未加密的机密数据

重要提示

已删除的文件显示为文件系统的可用空间，该空间不是仅通过已用磁盘空间加密的。在擦除或覆盖这些文件之前，已删除的文件会保存可使用常用数据取证工具恢复的信息。

选择加密模式，然后选择“下一步”

新的加密模式

兼容模式

注意

通常应选择 “新加密模式 ”，但如果驱动器可能移动到具有较旧 Windows 操作系统的另一台设备，请选择“ 兼容模式”

选择“立即继续重启”>

重新启动后，OS 将执行 BitLocker 系统检查并开始加密

用户可以使用 BitLocker 控制面板小程序检查加密状态。

注意

创建恢复密钥后，可以使用 BitLocker 控制面板创建恢复密钥的其他副本。

具有 TPM 保护器和启动密钥的 OS 驱动器

以下示例演示如何使用 TPM 和启动密钥保护程序在操作系统驱动器上启用 BitLocker。

假设 OS 驱动器号为 C: ，U 盘是驱动器号 E:，下面是命令：

PowerShell

命令提示符

控制面板

如果选择跳过 BitLocker 硬件测试，加密会立即启动，而无需重新启动。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:

manage-bde.exe -on C:

如果出现提示，请重新启动计算机以完成加密过程。

注意

加密完成后，必须先插入 USB 启动密钥，然后才能启动操作系统。

控制面板小程序不允许同时启用 BitLocker 和添加启动密钥保护程序。若要添加启动密钥保护程序，请执行以下步骤：

从 BitLocker 驱动器加密控制面板小程序，在 OS 驱动器下，选择选项更改驱动器在启动时的解锁方式

出现提示时，选择“插入 U 盘”选项

选择要存储启动密钥的 U 盘，然后选择“保存”

重新启动后，将显示 BitLocker 预启动屏幕，并且必须插入 USB 启动密钥，然后才能启动操作系统：

数据卷

数据卷使用与操作系统卷类似的加密过程，但它们不需要保护程序来完成操作。

PowerShell

命令提示符

控制面板

在加密卷之前添加所需的保护程序。以下示例使用变量$pw作为密码向E:卷添加密码保护程序。变量 $pw 保留为 SecureString 值，用于存储用户定义的密码：

$pw = Read-Host -AsSecureString

Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

注意

BitLocker cmdlet 需要用引号括起来的密钥保护程序 GUID 才能执行。确保命令中包含包含大括号的整个 GUID。

示例：使用 PowerShell 通过 TPM 保护程序启用 BitLocker

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

示例：使用 PowerShell 通过 TPM+PIN 保护程序启用 BitLocker，在本例中，PIN 设置为 123456：

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force

Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

可以使用基本命令加密数据卷：

manage-bde.exe -on

或者其他保护程序可以先添加到卷。建议将至少一个主保护程序加上一个恢复保护程序添加到数据卷。

使用 BitLocker 控制面板加密数据卷的方式与加密操作系统卷的方式类似。用户在 BitLocker 控制面板中选择“打开 BitLocker”以启动 BitLocker 驱动器加密向导。

管理 BitLocker 保护程序

BitLocker 保护程序管理包括添加、删除和备份保护程序。

使用以下说明，选择最适合你需求的选项，托管的 BitLocker 保护程序。

列出保护程序

可以通过运行以下命令列出示例) 中可用于卷 (C: 的保护程序列表：

PowerShell

命令提示符

控制面板

(Get-BitLockerVolume -mountpoint C).KeyProtector

manage-bde.exe -protectors -get C:

此信息在控制面板中不可用。

添加保护程序

添加恢复密码保护程序

PowerShell

命令提示符

控制面板

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

manage-bde.exe -protectors -add -recoverypassword C:

从 BitLocker 驱动器加密控制面板小程序中，选择要在其中添加保护程序的卷，然后选择“备份恢复密钥”选项。

添加密码保护程序

数据卷的常见保护程序是密码保护程序。在下一个示例中，密码保护程序将添加到卷。

PowerShell

命令提示符

控制面板

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

manage-bde.exe -protectors -add -pw D:

在 BitLocker 驱动器加密控制面板小程序中，展开要在其中添加密码保护程序的驱动器，然后选择“添加密码”选项。出现提示时，输入并确认密码以解锁驱动器。选择“ 完成” 以完成该过程。

添加 Active Directory 保护程序

Active Directory 保护程序是基于 SID 的保护程序，可以添加到操作系统卷和数据卷，尽管它不会在预启动环境中解锁操作系统卷。保护程序需要域帐户或组的 SID 才能与保护程序链接。 BitLocker 可以通过为群集名称对象添加基于 SID 的保护程序来保护群集感知磁盘 (CNO) ，该保护程序允许磁盘正确故障转移并解锁到群集的任何成员计算机。

重要提示

基于 SID 的保护程序要求在操作系统卷上使用其他保护程序，例如 TPM、PIN、恢复密钥等。

注意

此选项不适用于已加入Microsoft Entra设备。

在此示例中，将基于域 SID 的保护程序添加到以前加密的卷。用户知道要添加的用户帐户或组的 SID，并使用以下命令：

PowerShell

命令提示符

控制面板

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup ""

若要将保护程序添加到卷，需要域 SID 或域前面的组名称以及反斜杠。在以下示例中， CONTOSO\Administrator 帐户作为保护程序添加到数据卷 G。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

若要对帐户或组使用 SID，第一步是确定与安全主体关联的 SID。若要在 Windows PowerShell 中获取用户帐户的特定 SID，请使用以下命令：

Get-ADUser -filter {samaccountname -eq "administrator"}

注意

使用此命令需要 RSAT-AD-PowerShell 功能。

提示

有关本地登录的用户和组成员身份的信息，可以使用： whoami.exe /all。

manage-bde.exe -protectors -add -sid

此选项在控制面板中不可用。

删除保护程序

PowerShell

命令提示符

控制面板

若要删除卷上的现有保护程序，请使用 Remove-BitLockerKeyProtector cmdlet。必须提供与要删除的保护程序关联的 GUID。

以下命令返回密钥保护程序列表和 GUIDS：

$vol = Get-BitLockerVolume C

$keyprotectors = $vol.KeyProtector

$keyprotectors

通过使用此信息，可以使用命令删除特定卷的密钥保护程序：

Remove-BitLockerKeyProtector -KeyProtectorID "{GUID}"

注意

BitLocker cmdlet 需要用引号括起来的密钥保护程序 GUID 才能执行。确保命令中包含包含大括号的整个 GUID。

以下命令返回密钥保护程序列表：

manage-bde.exe -status C:

以下命令删除特定类型的密钥保护程序：

manage-bde.exe -protectors -delete C: -type TPMandPIN

在 BitLocker 驱动器加密控制面板小程序中，展开要删除保护程序的驱动器，然后选择删除保护程序的选项（如果可用）。

注意

对于任何 BitLocker 加密驱动器，必须至少有一种解锁方法。

暂停和恢复

某些配置更改可能需要暂停 BitLocker，然后在应用更改后恢复它。

按照以下说明，选择最适合你的需求的选项，暂停和恢复 BitLocker。

挂起 BitLocker

PowerShell

命令提示符

控制面板

Suspend-BitLocker -MountPoint D

manage-bde.exe -protectors -disable d:

使用控制面板时，只能挂起 OS 驱动器的 BitLocker 保护。

在 BitLocker 驱动器加密控制面板小程序中，选择 OS 驱动器，然后选择“挂起保护”选项。

恢复 BitLocker

PowerShell

命令提示符

控制面板

Resume-BitLocker -MountPoint D

manage-bde.exe -protectors -enable d:

在 BitLocker 驱动器加密控制面板小程序中，选择 OS 驱动器，然后选择“恢复保护”选项。

重置和备份恢复密码

建议在使用恢复密码后使其无效。在此示例中，从 OS 驱动器中删除了恢复密码保护程序，添加了新的保护程序，并将其备份到Microsoft Entra ID 或 Active Directory。

PowerShell

命令提示符

控制面板

从 OS 卷中删除所有恢复密码：

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `

where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `

Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

为 OS 卷添加 BitLocker 恢复密码保护程序：

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

获取新恢复密码的 ID：

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

注意

如果将策略设置 “选择如何恢复受 BitLocker 保护的操作系统驱动器 ”配置为“ 需要将 BitLocker 备份到 AD DS”，则不需要执行后续步骤。

从输出复制恢复密码的 ID。

使用上一步中的 GUID 替换{ID}以下命令中的，并使用以下命令将恢复密码备份为Microsoft Entra ID：

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

或者使用以下命令将恢复密码备份到 Active Directory：

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

注意

ID 字符串中必须包含大括号 {} 。

从 OS 卷中删除所有恢复密码：

manage-bde.exe -protectors -delete C: -type RecoveryPassword

为 OS 卷添加 BitLocker 恢复密码保护程序：

manage-bde.exe -protectors -add C: -RecoveryPassword

获取新恢复密码的 ID：

manage-bde.exe -protectors -get C: -Type RecoveryPassword

注意

如果将策略设置 “选择如何恢复受 BitLocker 保护的操作系统驱动器 ”配置为“ 需要将 BitLocker 备份到 AD DS”，则不需要执行以下步骤。

使用上一步中的 GUID 替换{ID}以下命令中的，并使用以下命令将恢复密码备份为Microsoft Entra ID：

manage-bde.exe -protectors -aadbackup C: -id {ID}

或者使用以下命令将恢复密码备份到 Active Directory：

manage-bde.exe -protectors -adbackup C: -id {ID}

注意

ID 字符串中必须包含大括号 {} 。

此过程无法使用控制面板来完成。请改用其他选项之一。

禁用 BitLocker

禁用 BitLocker 会解密并从卷中删除任何关联的保护程序。当不再需要保护时，应发生解密，而不是作为故障排除步骤。

按照以下说明禁用 BitLocker，选择最适合你的需求的选项。

PowerShell

命令提示符

控制面板

Windows PowerShell提供一次解密多个驱动器的功能。在以下示例中，用户有三个要解密的加密卷。

使用 Disable-BitLocker 命令，他们可以同时删除所有保护程序和加密，而无需使用更多命令。此命令的一个示例是：

Disable-BitLocker

若要避免单独指定每个装入点，请使用 -MountPoint 数组中的参数将同一命令序列成一行，而无需额外的用户输入。示例：

Disable-BitLocker -MountPoint C,D

使用 manage-bde.exe 解密的优点是不需要用户确认来启动该过程。 Manage-bde 使用 -off 命令启动解密过程。用于解密的示例命令是：

manage-bde.exe -off C:

此命令在解密卷时禁用保护程序，并在解密完成后删除所有保护程序。

使用控制面板的 BitLocker 解密是使用向导完成的。打开 BitLocker 控制面板小程序后，选择“关闭 BitLocker”选项以开始该过程。若要继续，请选择确认对话框。确认关闭 BitLocker 后，驱动器解密过程将开始。

解密完成后，驱动器会在控制面板中更新其状态，并可用于加密。

反馈

此页面是否有帮助？

是

否

提供产品反馈

反馈

Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see: https://aka.ms/ContentUserFeedback.

提交和查看相关反馈

此产品

此页面

查看所有页面反馈

其他资源

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

其他资源

本文内容

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

BitLocker 概述 - Windows Security | Microsoft Learn

跳转至主内容

此浏览器不再受支持。

请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。

下载 Microsoft Edge

有关 Internet Explorer 和 Microsoft Edge 的详细信息

退出焦点模式

使用英语阅读

保存

使用英语阅读

保存

打印

Twitter

Facebook

电子邮件

BitLocker 概述

项目

11/11/2023

3 个参与者

适用于:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

反馈

本文内容

BitLocker 是一项 Windows 安全功能，可为整个卷提供加密，解决因设备丢失、被盗或不适当停用而导致数据被盗或泄露的威胁。

实际应用程序

丢失或被盗设备上的数据容易受到未经授权的访问，方法是运行软件攻击工具，或者将设备的硬盘驱动器转移到其他设备。 BitLocker 通过增强文件和系统保护，在解除或回收受 BitLocker 保护的设备时使数据无法访问，从而帮助减少未经授权的数据访问。

BitLocker 和 TPM

与受信任的平台模块 (TPM) 结合使用时，BitLocker 可提供最大保护，后者是安装在 Windows 设备上的常见硬件组件。 TPM 与 BitLocker 配合使用，以确保设备在系统脱机时未被篡改。

除了 TPM，BitLocker 还可以锁定正常的启动过程，直到用户提供个人标识号 (PIN) 或插入包含启动密钥的可移动设备。这些安全措施提供多重身份验证和保证，在提供正确的 PIN 或启动密钥之前，设备无法从休眠状态启动或恢复。

在没有 TPM 的设备上，仍可使用 BitLocker 加密操作系统驱动器。此实现要求用户：

使用启动密钥，它是存储在可移动驱动器上的文件，用于启动设备，或者在从休眠状态恢复时

使用密码。此选项不安全，因为它受到暴力攻击，因为没有密码锁定逻辑。因此，不建议使用密码选项，并且默认禁用密码选项

这两个选项都不提供 BitLocker 通过 TPM 提供的预启动系统完整性验证。

带有启动键的 BitLocker 预启动屏幕：

带有 PIN 的 BitLocker 预启动屏幕：

带密码的 BitLocker 预启动屏幕：

系统要求

BitLocker 具有以下要求：

若要使 BitLocker 使用 TPM 提供的系统完整性检查，设备必须具有 TPM 1.2 或更高版本。如果设备没有 TPM，则启用 BitLocker 时，必须在可移动驱动器上保存启动密钥

具有 TPM 的设备还必须具有受信任的计算组 (TCG) 兼容 BIOS 或 UEFI 固件。 BIOS 或 UEFI 固件为预启动启动建立信任链，并且必须包括对 TCG 指定的静态信任度量根的支持。没有 TPM 的计算机不需要符合 TCG 的固件

适用于 TPM 和非 TPM 设备的系统 BIOS 或 UEFI 固件 () 必须支持 USB 大容量存储设备类，并在预启动环境中读取 USB 驱动器上的文件

注意

旧版和兼容性支持模块不支持 TPM 2.0 (CSM) BIOS 模式。具有 TPM 2.0 的设备必须仅将其 BIOS 模式配置为本机 UEFI。必须禁用旧版和 CSM 选项。为了提高安全性，请启用安全启动功能。

在旧模式的硬件上安装的操作系统在 BIOS 模式更改为 UEFI 时，OS 会停止启动。在更改 BIOS 模式之前使用该工具 mbr2gpt.exe ，这将准备 OS 和磁盘以支持 UEFI。

硬盘必须分区为至少两个驱动器：

操作系统驱动器 (或启动驱动器) 包含 OS 及其支持文件。必须使用 NTFS 文件系统设置格式

系统驱动器包含启动、解密和加载操作系统所需的文件。 BitLocker 不会在此驱动器上启用。若要使 BitLocker 正常工作，系统驱动器：

不得加密

必须与操作系统驱动器不同

在使用基于 UEFI 的固件的计算机上，必须使用 FAT32 文件系统格式化，或使用 BIOS 固件的计算机上的 NTFS 文件系统进行格式化

建议大小约为 350 MB。打开 BitLocker 后，它应具有大约 250 MB 的可用空间

重要提示

在新设备上安装时，Windows 会自动创建 BitLocker 所需的分区。

如果驱动器已准备为单个连续空间，则 BitLocker 需要一个新卷来保存启动文件。 BdeHdCfg.exe 可以创建卷。有关使用该工具的详细信息，请参阅 Command-Line 参考中的 Bdehdcfg 。

注意

在服务器上安装 BitLocker 可选组件时，必须安装增强存储功能。此功能用于支持硬件加密驱动器。

Windows 版本和许可要求

下表列出了支持 BitLocker 启用的 Windows 版本:

Windows 专业版

Windows 企业版

Windows 专业教育版/SE

Windows 教育版

是

BitLocker 启用许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE

Windows 企业版 E3

Windows 企业版 E5

Windows 教育版 A3

Windows 教育版 A5

是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

注意

BitLocker 启用的许可要求不同于 BitLocker 管理的许可要求。若要了解详细信息，请查看操作指南：配置 BitLocker。

设备加密

设备加密是一项 Windows 功能，它为某些设备提供了一种自动启用 BitLocker 加密的简单方法。设备加密适用于所有 Windows 版本，它要求设备满足新式待机或 HSTI 安全要求。设备加密不能具有允许 DMA 访问的外部可访问端口。

重要提示

设备加密仅加密 OS 驱动器和固定驱动器，不加密外部/USB 驱动器。

与标准 BitLocker 实现不同，设备加密会自动启用，以便设备始终受到保护。完成 Windows 的全新安装并完成全新体验后，设备已准备好首次使用。在此准备过程中，设备加密在 OS 驱动器和计算机上的固定数据驱动器上初始化，其明文密钥等效于标准 BitLocker 挂起状态。在此状态下，驱动器在 Windows 资源管理器中显示警告图标。创建 TPM 保护程序并备份恢复密钥后，将删除黄色警告图标。

如果设备已Microsoft Entra加入或已加入 Active Directory 域，则在成功将恢复密钥备份到Microsoft Entra ID 或Active Directory 域服务 (AD DS) 后，清除密钥将被删除。必须启用以下策略设置才能备份恢复密钥：选择如何恢复受 BitLocker 保护的操作系统驱动器

对于已加入Microsoft Entra的设备：当用户对Microsoft Entra ID 进行身份验证时，会自动创建恢复密码，然后将恢复密钥备份到Microsoft Entra ID，创建 TPM 保护程序，并删除清除密钥

对于已加入 AD DS 的设备：计算机加入域时会自动创建恢复密码。然后将恢复密钥备份到 AD DS，创建 TPM 保护程序，并删除清除密钥

如果设备未Microsoft Entra加入或 Active Directory 域加入，则需要对设备具有管理权限的 Microsoft 帐户。当管理员使用 Microsoft 帐户登录时，清除密钥将被删除，将恢复密钥上传到联机 Microsoft 帐户，并创建 TPM 保护程序。如果设备需要恢复密钥，将引导用户使用备用设备并导航到恢复密钥访问 URL，以便使用其 Microsoft 帐户凭据检索恢复密钥

如果设备仅使用本地帐户，则即使数据已加密，设备也会保持不受保护

重要提示

默认情况下，设备加密使用 XTS-AES 128-bit 加密方法。如果将策略设置配置为使用其他加密方法，则可以使用“注册状态”页来避免设备使用默认方法开始加密。 BitLocker 的逻辑在注册状态页设备配置阶段完成后，直到 OOBE 结束才会开始加密。此逻辑为设备提供了足够的时间来在开始加密之前接收 BitLocker 策略设置。

如果需要其他加密方法和/或密码强度，但设备已加密，必须先对其进行解密，然后才能应用新的加密方法和/或密码强度。解密设备后，可以应用不同的 BitLocker 设置。

如果设备最初不符合设备加密的条件，但随后进行了一项更改，导致设备 (合格，例如，通过打开安全启动) ，设备加密会在检测到它时自动启用 BitLocker。

可以在系统信息应用中 () msinfo32.exe 检查设备是否满足设备加密要求。如果设备满足要求，系统信息会显示一行，内容如下：

项目

值

设备加密支持

满足先决条件

BitLocker 和设备加密之间的差异

设备加密在符合设备加密条件的设备上自动打开 BitLocker，恢复密钥会自动备份到Microsoft Entra ID、AD DS 或用户的 Microsoft 帐户

设备加密在“设置”应用中添加设备加密设置，该设置可用于打开或关闭设备加密

在加密完成之前，“设置”UI 不会显示启用设备加密

注意

如果设备加密处于关闭状态，它将来将不再自动启用自身。用户必须在“设置”中手动启用它

禁用设备加密

建议对支持设备加密的任何系统保持打开状态。但是，可以通过更改以下注册表设置来阻止自动设备加密过程：

路径

名称

类型

值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

PreventDeviceEncryption

REG_DWORD

0x1

有关设备加密的详细信息，请参阅 BitLocker 设备加密硬件要求。

后续步骤

了解用于防范 BitLocker 加密密钥攻击的技术和功能：

BitLocker 对策 >

反馈

此页面是否有帮助？

是

否

提供产品反馈

反馈

提交和查看相关反馈

此产品

此页面

查看所有页面反馈

其他资源

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

其他资源

本文内容

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

【科普】Win10电脑的Bitlocker是什么？蓝屏锁了怎么办？ - 知乎

【科普】Win10电脑的Bitlocker是什么？蓝屏锁了怎么办？ - 知乎切换模式写文章登录/注册【科普】Win10电脑的Bitlocker是什么？蓝屏锁了怎么办？吃土皮皮虎电子设备制造业产品经理本文为中文互联网最全解析BitLocker的文章20年成文，22年年底重新更新了一些内容，也做过视频版）本文可以解答bitlocker是啥bitlocker蓝屏如何找密钥解锁网上搜来搜去，大抵也是本文范围内的知识2002.09.13更新目前已知两种解决找不到密钥的情况如果使用过公司/教育的outlook，可以尝试用这些邮箱登进网站后台找密钥（）如果是售后换主板后蓝屏了，可以尝试联系售后用旧主板点亮系统，进去后关掉设备加密即可（遇到两位朋友这样解决了，在评论区有）实在找不到密钥，数据我不要了，电脑能用就行，怎么办？重装系统即可（硬盘并没有损坏，只是数据加密了，别被奸商骗去换硬盘）重装系统有多种方法，需要另一台笔记本和一个U盘（微软U盘重装或者wepe重装）2022.03.27更新在这篇专栏成文一年多以来，600+小伙伴参考这个找回了自己的密钥，成功开机还有超过200+找不回来（没有微软账号/忘了密码/没有上传过），请看到这篇内容的小伙伴务必做两件事看自己有没有开bitlocker（搜索设备加密）看自己有没有备份bitlocker（微软账户里能看到，确认和本机的是否一致）别管以上这么多，直接关闭设备加密就行，咱数据对别人又没啥用，搞丢了自己心烦求求大家，增强对自己的电脑掌控力，这个丢了太惨了没有bitlocker就不用管了，记得做文件备份最惨的是一位研究生小姐姐，毕业论文锁住，全丢了，数据和资料全部要重新找（惨）以下是原文电脑出现如下图所示的蓝屏，想知道如何解锁电脑的小伙伴，可以看这篇内容成功解锁的朋友，如果也在使用知乎，请不要吝啬你的点赞/收藏，这可以帮助到更多的朋友发文一年半以来，已经帮助几百位朋友找到密钥，解决问题也有很多朋友由于没有备份密钥最后没有成功恢复数据但是吃一堑长一智，希望可以避免以后再遇到这样的情况Bitlocker锁定P.S. 作者并不是专业的运维IT人员，如有谬误，欢迎大家指正~（学习使我快乐！）本文已经被百度抓取，发文一年，阅读量约60K，百度搜索Bitlocker应该会直接出来这篇内容，希望能给更多人带来帮助~解决办法前提【电脑使用微软账户登录】在其他设备上登录【微软账号】，地址——【登录你的微软账号】找到【自己的设备】，查看【Bitlocker】密钥登录进去能看到【设备】，找要解锁的那台选择【安全和保护】进去往下滑，找到【管理恢复密钥】，里面有密钥——会有很多组，找和电脑蓝屏里，前面数字一致的那组点击【管理恢复密钥】进去找到ID和自己蓝屏画面上【恢复密钥ID】前8位一样的那串密钥画框的部分就是【密钥ID】画框的部分就是【密钥ID】输入【密钥ID】匹配的【48位数字密钥】，即可进系统以上是需要解决这个【蓝屏输入密钥】问题的朋友所需要的全部内容下面是【详细说明和科普】，又臭又长，可以不用看的~科普，向大家简要介绍一下Windows10电脑里的【Bitlocker】说不定哪天就用到了，点赞收藏走起哇！这是知乎社区里，为数不多的Bitlocker介绍背景——这是2018年后大部分新电脑都有的功能有朋友问我这个是做什么用的，有什么影响最近电脑拿去修，售后工程师微信询问我的Bitlocker密钥，我想起来，机器硬件更改后，需要BitLocker密钥才能重新进系统于是写一篇这个内容（才不是因为电脑坏了，四天没写回答，知乎不涨粉了，吓得我赶紧写东西）更新时间2020.06.07Bitlocer视觉图（图标和名称）简略版本：Bitlocker是一个数据加密软件，可以在硬件层面加密自己数据，保护自己的数据安全，密钥是48位数字在遇到电脑硬件变更的时候，开机需要输入【48位密钥】才能进系统没有密钥进不了系统，如果需要使用该设备，只能重装系统/使用其他硬盘密钥会自动上传到微软账户，也可以自己保存（获取秘钥比破解秘钥更实在）Bitlocker是实时加密的，但是不会占用太多系统资源锁定机器，如果没有密钥，无解✨应用场景——电脑硬件变动，BitLocker恢复，需要输入密钥我猜搜这个东西的朋友，主要是遇到这个情况~2021.06.28更新——时隔一年，发现很多地方其实是写错了，于是准备重写win11更新强调了对TPM2.0的需求，其实就是能不能启用BitLocker分享一下@Daniel Simpson 大佬写的BitLocker技术文档，帮助我系统学习了Bitlocker的使用原正文：目录什么是BitLocker？BitLocker有什么用？BitLocker怎么使用？补充阅读✨1、什么是Bitlocker?百度百科[1]BitLocker驱动器加密，是一种全卷加密技术，是在Windows Vista（一个早期的Windows系统，在XP和win7中间）中新增的一种数据保护功能，主要用于解决一个人们越来越关心的问题：由计算机设备的物理丢失导致的数据失窃或恶意泄漏。受信任的平台模块(TPM)，是一个内置在计算机中的微芯片。它用于存储加密信息，如加密密钥。Bitlocker可以加密整个卷，保护所有数据，包括操作系统本身、Windows注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由TPM锁定，因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。在不带有兼容TPM的计算机上，BitLocker可以提供加密，而不提供使用TPM锁定密钥的其他安全。简要解释——Bitlocker是一个软件，可以配合【TPM芯片】，从物理层面保护用户数据使用Bitlocker，即使有陌生人拿到了你的设备（电脑），也无法直接读取里面的数据，把硬盘拆出来也不行Bitlocker在机器硬件更改的情况下也会锁定电脑Bitlocker的密钥会传到微软，通过微软账户可以找到当前设备的BitLocker密钥没有密钥，电脑打不开，完全变砖，只能重装系统，数据全部白给微软官网的BitLocker密钥管理列表（虽然不打码也没事）（大家一定要有打码的意识，这是对自己和他人的尊重）举个法外狂徒的例子：【李四】有一台C940，出厂自带Bitlocker保护，机器有TPM芯片【张三】是【李四】的同事，知道李四的电脑里有一份【很有研究价值的学习资料】但是【张三】不好意思向【李四】开口要这份资料【张三】决定趁李四人不在的时候，插U盘，进PE系统去下载这份学习资料当【张三】进入PE系统的的时候，发现【李四】的硬盘无法读取任何资料，因为受到了Bitlocker保护【张三】尝试使用安全模式进李四的系统时，同样遇到了Bitlocker保护的情况如果【张三】希望进去拿到学习资料，他需要知道一串48位的密钥&amp;amp;amp;amp;amp;amp;amp;amp;lt;br/>这个48位密钥能暴力破解吗？16^48=2^192长度AES用的是256bit秘钥长度，等同于2^256组合。从这个角度来说，安全性被缩减到了2^192组合也就是说，可能的密钥数量为6后面57个0暴力破解，预约一下神威太湖之光说不定可以试试即：基本没有能破解的方式，除了机主本人，没人能进去；除非肯下大代价/和微软有PY交易&amp;amp;amp;amp;amp;amp;amp;amp;lt;br/>最后，【张三】还是通过沟通方式向【李四】索要了这份学习资料张三只能通过沟通向李四索要附录：几个名词的解释[2]【AES】高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。高级加密标准由美国国家标准与技术研究院（NIST）于2001年11月26日发布于FIPS PUB 197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一【TPM】(Trusted Platform Module)安全芯片是指符合TPM（可信赖平台模块）标准的安全芯片，它能有效地保护PC、防止非法用户访问。用于存储、管理BIOS开机密码以及硬盘密码，也可以加密硬盘的任意分区（TPM提供密钥）TPM安全芯片包含了分别实现RSA、SHA等算法硬件处理引擎，它既是密钥生成器，又是密钥管理器件TPM安全芯片首先验证当前底层固件的完整性，如正确则完成正常的系统初始化，然后由底层固件依次验证BIOS和操作系统完整性，如正确则正常运行操作系统，否则停止运行。（机器开机的时候，TPM芯片会检查硬件完整性，如果有硬件变动，就会锁住数据，必须输入Bitlocker密钥）TPM的优势——相比没有TPM芯片的机器，带TPM的机器可以储存密钥和关键信息在TPM芯片内部，相比存在硬盘里的密钥，TPM芯片更安全TPM加密的数据，只有这块芯片能解锁，数据和机器/芯片绑定，更安全TPM独立于硬盘之外，破解门槛高（一般情况没法破解，网上的破解教程基本都是假的）✨2、Bitlocker有什么用？前面的内容，看完大概知道了Bitlocekr有什么用，这里总结一下Bitlocker用途如下：加密硬盘数据，且几乎无法破解在硬件发生变动时，锁定计算机Bitlocker的几个需要知道的地方：绑定微软账户时，密钥会传到微软的服务器，在微软账户里，需要的时候记得登录微软账户找回如果锁定了，自己手上没有密钥，只能重装系统一些机器是带TPM芯片的，BitLocker会绑定机器硬件，同一块硬盘，即使知道密钥，在别的机器上也打不开Bitlocker可以手动关闭✨3、BitLocker怎么使用新机默认自动打开已打开，可关闭，需要找到BitLocker设置——开始-设置-更新与安全-设备加密屏幕左下角的开始菜单里找到【设置】设置列表里找到【更新和安全】设备加密可以关闭加密BitLocker设置可选备份恢复密钥备份恢复密钥——保存到文件（txt）（不能保存到加密的磁盘里）（可以存到U盘里）打印（可选为PDF）打印是这个样子——标识符（在需要输入密钥的地方会有提示，告诉你是哪个机器的密钥）密钥——48位纯数字，中间的分隔符不用输入密钥保存的文件密钥ID就是标识符前面8个字符Bitlocker是实时加密解密的，解锁的时候会读取整盘的数据4、查找我的BitLocker密钥[3]在 Microsoft 帐户中：在另一台设备上登录到你的 Microsoft 帐户以查找恢复密钥。如果其他用户在设备上拥有帐户，你可以要求他们登录到他们的 Microsoft 帐户，以查看他们是否有密钥。在保存的打印输出中：恢复密钥可能位于激活 BitLocker 时保存的打印输出中。在存放与你的计算机相关的重要文件的位置查找。在 U 盘上：将 U 盘插入已锁定的电脑，然后按照说明进行操作。如果你已在 U 盘上将密钥另存为文本文件，则使用另一台计算机阅读此文本文件。在 Azure Active Directory 帐户中：如果曾使用工作单位或学校电子邮件帐户登录到某个组织，恢复密钥可能会存储在该组织与你的设备相关联的 Azure AD 帐户中。你或许可以直接访问它，也可能需要联系系统管理员来访问恢复密钥。系统管理员持有：如果你的设备连接了某个域（通常是工作单位或学校设备），则联系系统管理员索要恢复密钥。5、补充阅读通过雷电三绕过TPM芯片读取机器数据找到的18年的资料，非常全面——完结撒花！参考^《百度百科》BitLocker https://baike.baidu.com/item/bitlocker/8001354?fr=aladdin^揭秘TPM安全芯片技术及加密应用 https://blog.csdn.net/kouryoushine/article/details/89216244^微软官网-查找BitLocker密钥 https://support.microsoft.com/zh-cn/help/4026181/windows-10-find-my-bitlocker-recovery-key编辑于 2022-09-13 13:48Windows 10计算机系统笔记本电脑赞同 758354 条评论分享喜欢收藏申请

打开设备加密 - Microsoft 支持

跳转至主内容

Microsoft

支持

主页

Microsoft 365

Office

产品

Microsoft 365

Outlook

Microsoft Teams

OneDrive

OneNote

Windows

Microsoft Edge

更多信息 ...

设备

Surface

电脑配件

移动体验

Xbox

PC 游戏

HoloLens

硬件保修

帐户和计费

帐户

Microsoft Store 和计费

资源

新增功能

社区论坛

Microsoft 365 管理员

小型企业门户

开发人员

教育

上报支持欺诈

购买 Microsoft 365

所有 Microsoft

Global

Microsoft 365

Teams

Windows

Surface

Xbox

折扣专区

企业购

支持

软件

Windows 应用

OneDrive

Outlook

Skype

OneNote

Microsoft Teams

PC 和设备

购买 Xbox

PC 和平板电脑

配件

娱乐

Xbox 与游戏

PC 游戏

企业

Microsoft Cloud

Microsoft 安全

Azure

Dynamics 365

Microsoft 365 商业版

Microsoft 行业

Microsoft Power Platform

开发人员与 IT

开发人员中心

文档

Microsoft Learn

Microsoft 技术社区

Azure 市场

AppSource

Visual Studio

其他

免费下载与安全性

教育

查看站点地图

搜索

搜索帮助

无结果

取消

使用 Microsoft 登录

登录或创建帐户。

你好，

使用其他帐户。

你有多个帐户

选择要登录的帐户。

打开设备加密

Windows 11 Windows 10 更多...更少

Windows 11Windows 10



加密有助于保护设备上的数据，防止未经授权的人员访问数据。如果设备加密不适用于你的设备，那么或许可以改为打开标准 BitLocker 加密。

打开设备加密

使用管理员帐户登录 Windows（可能必须注销并重新登录才能切换帐户）。有关详细信息，请参阅在 Windows 中创建本地用户或管理员帐户。

选择“开始”>“设置”>“隐私与安全”>“设备加密”。如果“设备加密”未显示，则此选项不可用。你或许可以改用标准 BitLocker 加密。打开设置中的设备加密.

如果“设备加密”已关闭，请将其“打开”。

打开标准 BitLocker 加密

使用管理员帐户登录 Windows 设备（可能必须注销并重新登录才能切换帐户）。有关详细信息，请参阅在 Windows 中创建本地用户或管理员帐户。

在任务栏上的搜索框中，键入“管理 BitLocker”，然后从结果列表中选择它。或者选择“开始”>“设置”>“隐私与安全”>“设备加密”>“BitLocker 驱动器加密”。注意：仅当设备配备 BitLocker 时才会显示此选项。它无法用于 Windows 11 家庭版。

选择“打开 BitLocker”，然后按照说明进行操作。

想了解更多信息并确认设备是否支持设备加密？请参阅 Windows 中的设备加密。

加密有助于保护设备上的数据，防止未经授权的人员访问数据。如果设备加密不适用于你的设备，那么或许可以改为打开标准 BitLocker 加密。（请注意，BitLocker 无法用于 Windows 10 家庭版。）

打开设备加密

使用管理员帐户登录 Windows（可能必须注销并重新登录才能切换帐户）。有关详细信息，请参阅在 Windows 中创建本地用户或管理员帐户。

选择“开始”按钮，然后依次选择“设置”>“更新和安全”>“设备加密”。如果“设备加密”未显示，则此选项不可用。你或许可以改用标准 BitLocker 加密。打开设置中的设备加密.

如果设备加密处于关闭状态，请选择“打开”。

打开标准 BitLocker 加密

使用管理员帐户登录 Windows 设备（可能必须注销并重新登录才能切换帐户）。有关详细信息，请参阅在 Windows 中创建本地用户或管理员帐户。

在任务栏上的搜索框中，键入“管理 BitLocker”，然后从结果列表中选择它。或者，你可以选择“开始”按钮，然后在“Windows 系统”下选择“控制面板”。在“控制面板”中选择“系统和安全”，然后在“BitLocker 驱动器加密”下选择“管理 BitLocker”。注意：仅当设备配备 BitLocker 时才会显示此选项。它无法用于 Windows 10 家庭版。

选择“打开 BitLocker”，然后按照说明进行操作。

想了解更多信息并确认设备是否支持设备加密？请参阅 Windows 中的设备加密。

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现

社区



了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈，并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验

此信息是否有帮助?

是

否

谢谢!还有关于 Microsoft 的反馈吗?

你能帮助我们改进吗? (向 Microsoft 发送反馈，以便我们提供帮助。)

你对语言质量的满意程度如何?

哪些因素影响了你的体验?

解决了我的问题

指示清晰

易于理解

无行话

图片有帮助

翻译质量

与屏幕上显示的不一致

错误说明

技术性太强

信息还少

图片太少

翻译质量

是否还有其他反馈? (可选)

提交反馈

按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。

你的 IT 管理员将能够收集此数据。

隐私声明。

谢谢您的反馈！

新增内容

Surface Pro 9

Surface Laptop 5

Surface Studio 2+

Surface Laptop Go 2

Surface Go 3

Microsoft 365

Windows 11 应用程序

Microsoft Store

帐户个人资料

下载中心

订单跟踪

教育

Microsoft 教育版

教育设备

Microsoft Teams 教育版

Microsoft 365 教育版

Office 教育版

教育工作者培训和开发

面向学生和家长的优惠

面向学生的 Azure

企业

Microsoft Cloud

Microsoft 安全

Azure

Dynamics 365

Microsoft 365

Microsoft Advertising

Microsoft 行业

Microsoft Teams

开发人员与 IT

开发人员中心

文档

Microsoft Learn

Microsoft 技术社区

Azure 市场

AppSource

Microsoft Power Platform

Visual Studio

公司

招贤纳士

关于 Microsoft

公司新闻

Microsoft 隐私

投资人

可持续发展

中文(中国)

加利福尼亚州消费者隐私法案(CCPA)选择退出图标

你的隐私选择

加利福尼亚州消费者隐私法案(CCPA)选择退出图标

你的隐私选择

与 Microsoft 联系

隐私

管理 Cookie

使用条款

商标

关于我们的广告

京ICP备09042378号-6

Windows 10 中的设备加密 - Microsoft 支持

跳转至主内容

Microsoft

支持

主页

Microsoft 365

Office

产品

Microsoft 365

Outlook

Microsoft Teams

OneDrive

OneNote

Windows

Microsoft Edge

更多信息 ...

设备

Surface

电脑配件

移动体验

Xbox

PC 游戏

HoloLens

硬件保修

帐户和计费

帐户

Microsoft Store 和计费

资源

新增功能

社区论坛

Microsoft 365 管理员

小型企业门户

开发人员

教育

上报支持欺诈

购买 Microsoft 365

所有 Microsoft

Global

Microsoft 365

Teams

Windows

Surface

Xbox

折扣专区

企业购

支持

软件

Windows 应用

OneDrive

Outlook

Skype

OneNote

Microsoft Teams

PC 和设备

购买 Xbox

PC 和平板电脑

配件

娱乐

Xbox 与游戏

PC 游戏

企业

Microsoft Cloud

Microsoft 安全

Azure

Dynamics 365

Microsoft 365 商业版

Microsoft 行业

Microsoft Power Platform

开发人员与 IT

开发人员中心

文档

Microsoft Learn

Microsoft 技术社区

Azure 市场

AppSource

Visual Studio

其他

免费下载与安全性

教育

查看站点地图

搜索

搜索帮助

无结果

取消

使用 Microsoft 登录

登录或创建帐户。

你好，

使用其他帐户。

你有多个帐户

选择要登录的帐户。

Windows 10 中的设备加密

Windows 11 Windows 10 更多...更少

设备加密有助于保护数据，适用于各种 Windows 设备。

加密如何保护我的数据？

通常，你都是通过 Windows 访问数据，而系统会提供与登录 Windows 相关的通常保护措施。但是，如果有人想要绕过这些 Windows 保护，他们可以打开计算机外壳并删除物理硬盘驱动器。然后，将你的硬盘作为第二块硬盘添加到他们控制的电脑上，则可能访问你的数据，而无需你的凭据。

但是，如果驱动器已加密，当他们尝试使用该方法访问驱动器时，他们必须提供解密密钥 (他们不应该) 才能访问驱动器上的任何内容。如果没有解密密钥，硬盘上的数据在他们看来将是一团乱麻，不知所云。

播放视频时遇到问题？在 YouTube 上观看。

BitLocker 是否要求提供恢复密钥？请参阅查找 BitLocker 恢复密钥。

它是否适用于我的设备？

BitLocker 加密适用于运行 Windows 10 或 11 专业版、企业版或教育版的受支持设备。

在运行 Windows 10 或更高版本的受支持设备上，首次登录个人 Microsoft 帐户（如 @outlook.com 或 @hotmail.com）或工作或学校帐户时，系统将会自动打开 BitLocker。

BitLocker 不会通过本地帐户自动打开，但你可以在管理 BitLocker 工具中手动打开它。

如何管理 BitLocker 加密

点击“开始”，并在搜索框中键入“管理 BitLocker”，然后从结果列表中选择它。

注意: 仅当你的设备提供 BitLocker 时，你才会看到此选项。 Windows 10 家庭版不提供 BitLocker。

如果已为设备打开 BitLocker，请务必确保已将恢复密钥备份到某个位置。如果 BitLocker 认为未经授权的用户正在尝试访问驱动器，它将锁定系统并要求提供 BitLocker 恢复密钥。如果没有该密钥，则无法访问驱动器，并且 Microsoft 支持人员无权访问恢复密钥，因此他们无法向你提供恢复密钥，或者创建一个新密钥（如果丢失）。

备份恢复密钥只需一些时间。有关详细信息，请参阅备份 BitLocker 恢复密钥。

如果设备不支持 BitLocker，则可以改用 Windows 设备加密。

查看是否可以使用 Windows 设备加密

在任务栏上的搜索框中，键入“系统信息”，右键单击结果列表中的“系统信息”，然后选择“以管理员身份运行”。或者，你可以选择“开始”按钮，然后在“Windows 管理工具”下选择“系统信息”。

在“系统信息”窗口底部，查找“设备加密支持”。如果该值显示“符合先决条件”，则设备加密适用于你的设备。

打开 Windows 设备加密

使用管理员帐户登录 Windows（可能必须注销并重新登录才能切换帐户）。有关详细信息，请参阅在 Windows 10 中创建本地用户或管理员帐户。

选择“开始”按钮，然后依次选择“设置” > “更新和安全” > “设备加密”。如果“设备加密”未显示，则此选项不可用。

如果设备加密处于关闭状态，请选择“打开”。

其他资源

备份 BitLocker 恢复密钥

在 Windows 中查找 BitLocker 恢复密钥

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现

社区



了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈，并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验

此信息是否有帮助?

是

否

谢谢!还有关于 Microsoft 的反馈吗?

你能帮助我们改进吗? (向 Microsoft 发送反馈，以便我们提供帮助。)

你对语言质量的满意程度如何?

哪些因素影响了你的体验?

解决了我的问题

指示清晰

易于理解

无行话

图片有帮助

翻译质量

与屏幕上显示的不一致

错误说明

技术性太强

信息还少

图片太少

翻译质量

是否还有其他反馈? (可选)

提交反馈

按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。

你的 IT 管理员将能够收集此数据。

隐私声明。

谢谢您的反馈！

新增内容

Surface Pro 9

Surface Laptop 5

Surface Studio 2+

Surface Laptop Go 2

Surface Go 3

Microsoft 365

Windows 11 应用程序

Microsoft Store

帐户个人资料

下载中心

订单跟踪

教育

Microsoft 教育版

教育设备

Microsoft Teams 教育版

Microsoft 365 教育版

Office 教育版

教育工作者培训和开发

面向学生和家长的优惠

面向学生的 Azure

企业

Microsoft Cloud

Microsoft 安全

Azure

Dynamics 365

Microsoft 365

Microsoft Advertising

Microsoft 行业

Microsoft Teams

开发人员与 IT

开发人员中心

文档

Microsoft Learn

Microsoft 技术社区

Azure 市场

AppSource

Microsoft Power Platform

Visual Studio

公司

招贤纳士

关于 Microsoft

公司新闻

Microsoft 隐私

投资人

可持续发展

中文(中国)

加利福尼亚州消费者隐私法案(CCPA)选择退出图标

你的隐私选择

加利福尼亚州消费者隐私法案(CCPA)选择退出图标

你的隐私选择

与 Microsoft 联系

隐私

管理 Cookie

使用条款

商标

关于我们的广告

京ICP备09042378号-6

配置 BitLocker - Windows Security | Microsoft Learn

跳转至主内容

此浏览器不再受支持。

请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。

下载 Microsoft Edge

有关 Internet Explorer 和 Microsoft Edge 的详细信息

退出焦点模式

使用英语阅读

保存

使用英语阅读

保存

打印

Twitter

Facebook

电子邮件

配置 BitLocker

项目

11/11/2023

1 个参与者

适用于:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

反馈

本文内容

若要配置 BitLocker，可以使用以下选项之一：

配置服务提供程序 (CSP) ：此选项通常用于移动设备管理 (MDM) 解决方案（如Microsoft Intune）管理的设备。 BitLocker CSP 用于配置 BitLocker，以及向 MDM 解决方案报告不同 BitLocker 函数的状态。使用 Microsoft Intune，可以在合规性策略中使用 BitLocker 状态，并将其与条件访问相结合。条件访问可以根据 BitLocker 的状态阻止或授予对 Exchange Online 和 SharePoint Online 等服务的访问权限。若要详细了解配置和监视 BitLocker 的Intune选项，检查以下文章：

使用 Intune 管理 Windows 设备的 BitLocker 策略

使用 Intune 监视设备加密

使用符合性策略为使用 Intune 管理的设备设置规则

组策略 (GPO) ：此选项可用于已加入 Active Directory 域且不受设备管理解决方案管理的设备。组策略还可用于未加入 Active Directory 域的设备，使用本地组策略编辑器

Microsoft Configuration Manager：此选项可用于使用 BitLocker 管理代理由 Microsoft Configuration Manager 管理的设备。若要详细了解通过Microsoft Configuration Manager配置 BitLocker 的选项，请参阅部署 BitLocker 管理

注意

Windows Server 不支持使用 CSP 或 Microsoft Configuration Manager 配置 BitLocker。请改用 GPO。

虽然许多 BitLocker 策略设置都可以使用 CSP 和 GPO 进行配置，但有些设置只能使用其中一个选项。若要了解适用于 CSP 和 GPO 的策略设置，请查看 BitLocker 策略设置部分。

Windows 版本和许可要求

下表列出了支持 BitLocker 管理的 Windows 版本：

Windows 专业版

Windows 企业版

Windows 专业教育版/SE

Windows 教育版

是

BitLocker 管理许可证权利由以下许可证授予：

Windows 专业版/专业教育版/SE

Windows 企业版 E3

Windows 企业版 E5

Windows 教育版 A3

Windows 教育版 A5

否

是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

BitLocker 策略设置

本部分介绍通过配置服务提供程序 (CSP) 和组策略 (GPO) 配置 BitLocker 的策略设置。

重要提示

最初为驱动器打开 BitLocker 时，将强制实施大多数 BitLocker 策略设置。如果设置发生更改，则不会重启加密。

策略设置列表

设置列表按字母顺序排序，分为四个类别：

常见设置：适用于所有受 BitLocker 保护的驱动器的设置

操作系统驱动器：适用于安装 Windows 的驱动器的设置

固定的数据驱动器：适用于除操作系统驱动器以外的任何本地驱动器的设置

可移动数据驱动器：适用于任何可移动驱动器的设置

选择其中一个选项卡以查看可用设置的列表：

通用设置

操作系统驱动器

固定数据驱动器

可移动数据驱动器

下表列出了适用于所有驱动器类型的 BitLocker 策略，指示它们是否通过配置服务提供商 (CSP) 和/或组策略 (GPO) 适用。有关更多详细信息，请选择策略名称。

策略名称

CSP

Gpo

允许标准用户加密

✅

❌

选择恢复密码的默认文件夹

❌

✅

选择驱动器加密方法和密码强度

✅

配置恢复密码轮换

✅

❌

锁定此计算机时禁用新的 DMA 设备

❌

✅

防止重启时内存覆盖

❌

✅

为组织提供唯一标识符

✅

要求设备加密

✅

❌

验证智能卡证书使用规则符合性

❌

✅

允许标准用户加密

使用此策略，可以在当前登录用户没有管理权限时应用策略的情况下强制实施 “需要设备加密 ”策略。

重要提示

必须禁用其他磁盘加密策略的“允许警告 ”才能允许标准用户加密。

路径

CSP

./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

Gpo

不可用

选择恢复密码的默认文件夹

指定当 BitLocker 驱动器加密设置向导提示用户输入要在其中保存恢复密码的文件夹的位置时显示的默认路径。可以指定完全限定的路径，也可以在路径中包含目标计算机的环境变量：

如果路径无效，则 BitLocker 安装向导将显示计算机的顶级文件夹视图

如果禁用或未配置此策略设置，则当用户选择将恢复密码保存到文件夹中的选项时，BitLocker 安装向导会显示计算机的顶级文件夹视图

注意

此策略设置不会阻止用户将恢复密码保存在另一个文件夹中。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

选择驱动器加密方法和密码强度

使用此策略，可以单独为固定数据驱动器、操作系统驱动器和可移动数据驱动器配置加密算法和密钥加密强度。

建议的设置： XTS-AES 所有驱动器的算法。密钥大小（128 位或 256 位）的选择取决于设备的性能。对于性能更高的硬盘驱动器和 CPU，请选择 256 位密钥，对于性能较差的密钥，请使用 128。

重要提示

监管机构或行业可能要求密钥大小。

如果禁用或未配置此策略设置，BitLocker 将使用的默认加密方法 XTS-AES 128-bit。

注意

此策略不适用于加密驱动器。加密驱动器使用自己的算法，该算法在分区期间由驱动器设置。

路径

CSP

./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

配置恢复密码轮换

使用此策略，可以在已加入和Microsoft Entra混合联接的设备上配置操作系统和固定 Microsoft Entra驱动器时使用的数字恢复密码轮换。

可能的值为：

0：数字恢复密码轮换已关闭

1：已加入Microsoft Entra的设备在使用时启用数字恢复密码轮换。这也是默认值

2：已加入Microsoft Entra设备和Microsoft Entra混合联接设备在使用时启用数字恢复密码轮换

注意

仅当恢复密码的 Micropsoft Entra ID 或 Active Directory 备份配置为必需时，策略才有效

对于 OS 驱动器：启用在将恢复信息存储到操作系统驱动器的 AD DS 之前，不要启用 BitLocker

对于固定驱动器：启用“在将恢复信息存储到固定数据驱动器的 AD DS 之前，不要启用 BitLocker

路径

CSP

./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Gpo

不可用

锁定此计算机时禁用新的 DMA 设备

启用后，此策略设置会阻止所有热插拔 PCI 端口的直接内存访问 (DMA) ，直到用户登录到 Windows。

用户登录后，Windows 会枚举连接到主机 Thunderbolt PCI 端口的 PCI 设备。每次用户锁定设备时，DMA 都会阻止热插拔 Thunderbolt PCI 端口（没有子设备），直到用户再次登录。

设备解锁时已枚举的设备将继续运行，直到拔出，或者系统重新启动或休眠。

仅当启用 BitLocker 或设备加密时，才会强制实施此策略设置。

重要提示

此策略与内核 DMA 保护不兼容。如果系统支持内核 DMA 保护，建议禁用此策略，因为内核 DMA 保护为系统提供更高的安全性。有关内核 DMA 保护的详细信息，请参阅内核 DMA 保护。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

防止重启时内存覆盖

此策略设置用于控制设备重启时是否覆盖计算机的内存。 BitLocker 机密包括用于加密数据的密钥材料。

如果启用此策略设置，则计算机重启时不会覆盖内存。防止内存覆盖可以提高重启性能，但会增加公开 BitLocker 机密的风险。

如果禁用或未配置此策略设置，则在计算机重启时，将从内存中删除 BitLocker 机密。

注意

仅当启用了 BitLocker 保护时，此策略设置才适用。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

为组织提供唯一标识符

此策略设置允许你将唯一的组织标识符关联到使用 BitLocker 加密的驱动器。标识符存储为标识字段和允许的标识字段：

标识字段允许你将唯一的组织标识符关联到受 BitLocker 保护的驱动器。此标识符会自动添加到受 BitLocker 保护的新驱动器，并且可以使用 BitLocker 驱动器加密：配置工具 (manage-bde.exe)

允许的标识字段与拒绝对不受 BitLocker 保护的可移动驱动器的写入访问策略设置结合使用，以帮助控制组织中可移动驱动器的使用。它是组织或其他外部组织的标识字段的逗号分隔列表。可以使用在现有驱动器 manage-bde.exe上配置标识字段。

如果启用此策略设置，则可以在受 BitLocker 保护的驱动器以及组织使用的任何允许的标识字段上配置标识字段。在另一台启用了 BitLocker 的设备上装载受 BitLocker 保护的驱动器时，将使用标识字段和允许的标识字段来确定该驱动器是否来自其他组织。

如果禁用或未配置此策略设置，则不需要标识字段。

重要提示

在受 BitLocker 保护的驱动器上管理基于证书的数据恢复代理时，需要标识字段。 BitLocker 仅在驱动器上存在标识字段且与设备上配置的值相同时管理和更新基于证书的数据恢复代理。标识字段可以是 260 个字符或更少的任何值。

路径

CSP

./Device/Vendor/MSFT/BitLocker/IdentificationField

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

要求设备加密

此策略设置确定是否需要 BitLocker：

如果启用，则会根据允许其他磁盘加密策略的警告以无提示或非无提示方式在所有驱动器上触发加密

如果禁用，则不会关闭系统驱动器的 BitLocker，但会停止提示用户打开 BitLocker。

注意

通常，BitLocker 遵循选择驱动器加密方法和密码强度策略配置。但是，对于自加密固定驱动器和自加密 OS 驱动器，将忽略此策略设置。

可加密固定数据卷的处理方式与 OS 卷类似，但它们必须满足其他条件才能进行加密：

它不能是动态卷

它不能是恢复分区

它不能是隐藏卷

它不能是系统分区

它不能由虚拟存储提供支持

BCD 存储中不能有引用

注意

使用此策略进行无提示加密时，仅支持完整磁盘加密。对于非无提示加密，加密类型将取决于在操作系统驱动器上强制实施驱动器加密类型和在设备上配置的固定数据驱动器上强制实施驱动器加密类型策略。

路径

CSP

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

Gpo

不可用

验证智能卡证书使用规则符合性

此策略设置用于通过将对象标识符 (OID) 从智能卡证书关联到受 BitLocker 保护的驱动器来确定要用于 BitLocker 的证书。对象标识符在证书的增强密钥用法 (EKU) 中指定。

BitLocker 可以通过将证书中的对象标识符与此策略设置定义的对象标识符匹配来标识哪些证书可用于对受 BitLocker 保护的驱动器的用户证书进行身份验证。默认 OID 为 1.3.6.1.4.1.311.67.1.1。

如果启用此策略设置，则“对象标识符”字段中指定的对象标识符必须与智能卡证书中的对象标识符匹配。如果禁用或未配置此策略设置，则使用默认 OID。

注意

BitLocker 不要求证书具有 EKU 属性;但是，如果为证书配置了一个，则必须将其设置为与为 BitLocker 配置的对象标识符匹配的对象标识符。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

策略名称

CSP

Gpo

允许符合 InstantGo 或 HSTI 的设备选择退出预启动 PIN

✅

允许用于启动的增强型 PIN

✅

允许在启动时解锁网络

❌

✅

允许安全启动进行完整性验证

❌

✅

允许对其他磁盘加密发出警告

✅

❌

选择如何恢复受 BitLocker 保护的操作系统驱动器

✅

为启动配置最小 PIN 长度

✅

配置预启动恢复消息和 URL

✅

为基于 BIOS 的固件配置配置 TPM 平台验证配置文件

❌

✅

为本机 UEFI 固件配置配置 TPM 平台验证配置文件

❌

✅

配置对操作系统驱动器使用基于硬件的加密

❌

✅

为操作系统驱动器配置密码的使用

❌

✅

禁止标准用户更改 PIN 或密码

✅

启用 BitLocker 身份验证，要求在平板电脑上预启动键盘输入

✅

在操作系统驱动器上强制实施驱动器加密类型

✅

启动时需要其他身份验证

✅

在 BitLocker 恢复后重置平台验证数据

❌

✅

使用增强的启动配置数据验证配置文件

❌

✅

允许符合 InstantGo 或 HSTI 的设备选择退出预启动 PIN

此策略设置允许符合 InstantGo 或 Microsoft 硬件安全测试接口的设备上的用户 (HSTI) 没有用于预启动身份验证的 PIN。

该策略覆盖在合规硬件上启动时需要其他身份验证策略的“使用 TPM 需要启动 PIN”和“使用 TPM 需要启动密钥和 PIN”选项。

如果启用此策略设置，则符合 InstantGo 和 HSTI 标准的设备上的用户无需预启动身份验证即可打开 BitLocker

如果策略已禁用或未配置，则“ 启动时需要其他身份验证” 策略的选项适用

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

允许用于启动的增强型 PIN

使用包含 PIN 的解锁方法时，此设置允许使用增强型 PIN。

增强的启动 PIN 允许使用字符 (包括大写字母、符号、数字和空格) 。

重要提示

并非所有计算机在预启动环境中都支持增强的 PIN 字符。强烈建议用户在 BitLocker 设置期间执行系统检查，以验证是否可以使用增强的 PIN 字符。

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

允许在启动时解锁网络

此策略设置控制连接到受信任的有线局域网 (LAN) 的受 BitLocker 保护的设备是否可以在启用 TPM 的计算机上创建和使用网络密钥保护程序，以便在计算机启动时自动解锁操作系统驱动器。

如果启用此策略，则配置有 BitLocker 网络解锁证书的设备可以创建和使用网络密钥保护程序。若要使用网络密钥保护程序解锁计算机，计算机和 BitLocker 驱动器加密网络解锁服务器都必须使用网络解锁证书进行预配。网络解锁证书用于创建网络密钥保护程序，并保护与服务器交换以解锁计算机的信息。

组策略设置计算机配置>Windows 设置>安全设置>公钥策略>BitLocker 驱动器加密网络解锁证书可用于在域控制器上将此证书分发到组织中的计算机。此解锁方法在计算机上使用 TPM，因此没有 TPM 的计算机无法创建网络密钥保护程序以使用网络解锁自动解锁。

如果禁用或未配置此策略设置，BitLocker 客户端将无法创建和使用网络密钥保护程序。

注意

为了提高可靠性和安全性，计算机还应具有 TPM 启动 PIN，当计算机在启动时与有线网络或服务器断开连接时，可以使用该 PIN。

有关网络解锁功能的详细信息，请参阅 BitLocker：如何启用网络解锁

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

允许安全启动进行完整性验证

使用此策略设置，可以配置是否允许安全启动作为 BitLocker 操作系统驱动器的平台完整性提供程序。

安全启动可确保设备的预启动环境仅加载由授权软件发布者进行数字签名的固件。

如果启用或未配置此策略设置，则如果平台能够进行基于安全启动的完整性验证，则 BitLocker 使用安全启动实现平台完整性

如果禁用此策略设置，则 BitLocker 使用旧平台完整性验证，即使在能够进行基于安全启动的完整性验证的系统上也是如此

启用此策略并且硬件能够使用适用于 BitLocker 方案的安全启动时，将忽略“使用增强的启动配置数据验证配置文件” 策略设置，并且安全启动将根据独立于 BitLocker 配置的安全启动策略设置来验证 BCD 设置。

注意

如果已启用策略设置 “为本机 UEFI 固件配置配置 TPM 平台验证配置文件 ”，并且省略了 PCR 7，则会阻止 BitLocker 使用安全启动平台或启动配置数据 (BCD) 完整性验证。

警告

在更新特定于制造商的固件时，禁用此策略可能会导致 BitLocker 恢复。如果禁用此策略，请在应用固件更新之前暂停 BitLocker。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

允许对其他磁盘加密发出警告

使用此策略，可以禁用所有加密通知、其他磁盘加密的警告提示，以及以无提示方式启用加密。

重要提示

此策略仅适用于已加入Microsoft Entra设备。

仅当启用了 “需要设备加密策略” 时，此策略才会生效。

警告

在具有第三方加密的设备上启用 BitLocker 时，它可能会使设备不可用，并且需要重新安装 Windows。

此策略的预期值为：

启用 (默认) ：允许警告提示和加密通知

已禁用：禁止显示警告提示和加密通知。 Windows 将尝试以无提示方式启用 BitLocker

注意

禁用警告提示时，OS 驱动器的恢复密钥将备份到用户的Microsoft Entra ID帐户。当你允许警告提示时，收到提示的用户可以选择备份 OS 驱动器的恢复密钥的位置。

固定数据驱动器备份的终结点按以下顺序选择：

用户的Windows Server Active Directory 域服务帐户

用户的Microsoft Entra ID帐户

用户的个人 OneDrive (MDM/MAM 仅)

加密将等到这三个位置之一成功备份。

路径

CSP

./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

Gpo

不可用

选择如何恢复受 BitLocker 保护的操作系统驱动器

通过此策略设置，可以控制在没有所需的启动密钥信息的情况下如何恢复受 BitLocker 保护的操作系统驱动器。如果启用此策略设置，则可以控制用户可从受 BitLocker 保护的操作系统驱动器恢复数据的方法。下面是可用的选项：

允许基于证书的数据恢复代理：指定数据恢复代理是否可以与受 BitLocker 保护的 OS 驱动器一起使用。必须先从组策略管理控制台或本地组策略编辑器的公钥策略项添加数据恢复代理，然后才能使用数据恢复代理

配置 BitLocker 恢复信息的用户存储：选择是允许、需要还是不允许用户生成 48 位恢复密码或 256 位恢复密钥

省略 BitLocker 安装向导中的恢复选项：阻止用户在为驱动器打开 BitLocker 时指定恢复选项。这意味着用户无法在打开 BitLocker 时指定要使用的恢复选项。驱动器的 BitLocker 恢复选项由策略设置确定

将 BitLocker 恢复信息保存到Active Directory 域服务：选择要在操作系统驱动器的 AD DS 中存储的 BitLocker 恢复信息。如果选择 “备份恢复密码和密钥包”，则 BitLocker 恢复密码和密钥包都存储在 AD DS 中。存储密钥包支持从物理损坏的驱动器恢复数据。如果选择“ 仅备份恢复密码”，则仅恢复密码存储在 AD DS 中

在操作系统驱动器的恢复信息存储在 AD DS 中之前，请勿启用 BitLocker：除非设备已连接到域，并且 BitLocker 恢复信息备份到 AD DS 成功，否则阻止用户启用 BitLocker。使用此选项时，会自动生成恢复密码。

如果禁用或未配置此策略设置，则 BitLocker 恢复支持默认恢复选项。默认情况下，允许 DRA，恢复选项可由用户指定，包括恢复密码和恢复密钥，并且恢复信息不会备份到 AD DS。

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

为启动配置最小 PIN 长度

此策略为受信任的平台模块配置最小长度， (TPM) 启动 PIN。启动 PIN 的最小长度必须为 4 位，最大长度为 20 位。

如果启用此策略设置，则可以要求在设置启动 PIN 时使用最少的位数。

如果禁用或未配置此策略设置，用户可以配置 6 到 20 位之间的任意长度的启动 PIN。

可以将 TPM 配置为使用字典攻击防护参数 (锁定阈值和锁定持续时间来控制在锁定 TPM 之前允许的失败授权尝试次数，以及必须经过多少时间才能进行另一次尝试。

字典攻击防护参数提供了一种平衡安全需求和可用性的方法。例如，当 BitLocker 与 TPM + PIN 配置一起使用时，PIN 猜测数会随时间推移而受到限制。此示例中的 TPM 2.0 可以配置为立即只允许 32 个 PIN 猜测，然后每两小时只能再进行一次猜测。此尝试次数总计每年最多约 4415 次。如果 PIN 为四位数，则两年内可以尝试所有 9999 可能的 PIN 组合。

提示

增加 PIN 长度需要攻击者进行较多的猜测。在这种情况下，可以缩短每个猜测之间的锁定持续时间，以允许合法用户更快地重试失败的尝试，同时保持类似的保护级别。

注意

如果最小 PIN 长度设置为低于 6 位，则 Windows 将尝试在更改 PIN 时将 TPM 2.0 锁定期更新为大于默认值。如果成功，仅当重置 TPM 时，Windows 才会将 TPM 锁定期重置回默认值。

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

配置预启动恢复消息和 URL

此策略设置用于配置恢复消息，并替换在 OS 驱动器锁定时在预启动恢复屏幕上显示的现有 URL。

如果选择“ 使用默认恢复消息和 URL ”选项，默认 BitLocker 恢复消息和 URL 将显示在预启动密钥恢复屏幕中。如果以前配置了自定义恢复消息或 URL，并且想要还原到默认消息，则必须保持策略启用状态，然后选择“使用默认恢复消息和 URL”选项

如果选择“ 使用自定义恢复消息” 选项，则添加到“ 自定义恢复消息”选项文本框中的消息将显示在预启动密钥恢复屏幕中。如果恢复 URL 可用，请将其包含在消息中

如果选择“ 使用自定义恢复 URL” 选项，则添加到“ 自定义恢复 URL”选项文本框中的 URL 将替换默认恢复消息中的默认 URL，该消息显示在预启动密钥恢复屏幕中

注意

预启动并非支持所有字符和语言。强烈建议测试用于自定义消息或 URL 的字符是否在预启动恢复屏幕上正确显示。

有关 BitLocker 预启动恢复屏幕的详细信息，请参阅预启动恢复屏幕。

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

为基于 BIOS 的固件配置配置 TPM 平台验证配置文件

此策略设置确定 TPM 在解锁具有 BIOS 配置或启用了 CSM) 兼容性支持模块 (的 UEFI 固件的计算机上的操作系统驱动器之前验证早期启动组件时测量的值。

启用后，可以配置 TPM 在解锁对 BitLocker 加密操作系统驱动器的访问权限之前验证的启动组件。如果这些组件中的任何一个在 BitLocker 保护生效时发生更改，则 TPM 不会释放加密密钥来解锁驱动器。相反，计算机显示 BitLocker 恢复控制台，并要求提供恢复密码或恢复密钥来解锁驱动器。

禁用或未配置时，TPM 将使用默认平台验证配置文件或由安装脚本指定的平台验证配置文件。

如果计算机没有兼容的 TPM，或者 BitLocker 已打开 TPM 保护，则此策略设置不适用。

重要提示

此组策略设置仅适用于 BIOS 配置的计算机或启用了 CSM 的 UEFI 固件的计算机。使用本机 UEFI 固件配置的计算机将不同的值存储在平台配置寄存器 (PCR) 。使用 “为本机 UEFI 固件配置配置 TPM 平台验证配置文件” 策略设置，为使用本机 UEFI 固件的计算机配置 TPM PCR 配置文件。

平台验证配置文件由一组范围从 0 到 23 的 PCR 索引组成。每个 PCR 索引表示 TPM 在早期启动期间验证的特定度量值。默认平台验证配置文件针对以下 PCR 的更改保护加密密钥：

Pcr

描述

PCR 0

用于度量、BIOS 和平台扩展的核心信任根

PCR 2

选项 ROM 代码

PCR 4

主启动记录 (MBR) 代码

PCR 8

NTFS 启动扇区

PCR 9

NTFS 启动块

PCR 10

启动管理器

PCR 11

BitLocker 访问控制

注意

从默认平台验证配置文件更改会影响计算机的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。

以下列表标识了所有可用的 PCR：

Pcr

描述

PCR 0

用于度量、BIOS 和平台扩展的核心信任根

PCR 1

平台和主板配置以及数据。

PCR 2

选项 ROM 代码

PCR 3

选项 ROM 数据和配置

PCR 4

主启动记录 (MBR) 代码

PCR 5

主启动记录 (MBR) 分区表

PCR 6

状态转换和唤醒事件

PCR 7

特定于计算机制造商

PCR 8

NTFS 启动扇区

PCR 9

NTFS 启动块

PCR 10

启动管理器

PCR 11

BitLocker 访问控制

PCR 12-23

保留供将来使用

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

为本机 UEFI 固件配置配置 TPM 平台验证配置文件

此策略设置确定 TPM 在解锁本机 UEFI 固件设备上 OS 驱动器之前验证早期启动组件时所测量的值。

如果在启用 BitLocker 之前启用此策略设置，则可以配置 TPM 在解锁对 BitLocker 加密 OS 驱动器的访问权限之前验证的启动组件。如果这些组件中的任何一个在 BitLocker 保护生效时发生更改，TPM 不会释放加密密钥来解锁驱动器。设备显示 BitLocker 恢复控制台，并要求提供恢复密码或恢复密钥来解锁驱动器

如果禁用或未配置此策略设置，BitLocker 将使用可用硬件的默认平台验证配置文件，或者使用由安装脚本指定的平台验证配置文件

重要提示

此策略设置仅适用于具有本机 UEFI 固件配置的设备。具有 BIOS 或 UEFI 固件且具有兼容性支持模块 (CSM) 的计算机在平台配置寄存器 (PCR) 中存储不同的值。使用 “为基于 BIOS 的固件配置配置 TPM 平台验证配置文件 ”策略设置，为具有 BIOS 配置的设备或启用了 CSM 的 UEFI 固件的设备配置 TPM PCR 配置文件。

平台验证配置文件包含一组从 0 到 23 的 PCR 索引。默认平台验证配置文件针对以下 PCR 的更改保护加密密钥：

Pcr

描述

PCR 0

核心系统固件可执行代码

PCR 2

扩展或可插入的可执行代码

PCR 4

启动管理器

PCR 11

BitLocker 访问控制

注意

当提供安全启动状态 (PCR7) 支持时，默认平台验证配置文件使用安全启动状态 (PCR 7) 和 BitLocker 访问控制 (PCR 11) 来保护加密密钥。

以下列表标识了所有可用的 PCR：

Pcr

描述

PCR 0

核心系统固件可执行代码

PCR 1

核心系统固件数据

PCR 2

扩展或可插入的可执行代码

PCR 3

扩展或可插入固件数据

PCR 4

启动管理器

PCR 5

GPT/分区表

PCR 6

从 S4 和 S5 Power State 事件恢复

PCR 7

安全启动状态

PCR 8

初始化为 0，没有保留扩展 (供将来使用)

PCR 9

初始化为 0，没有保留扩展 (供将来使用)

PCR 10

初始化为 0，没有保留扩展 (供将来使用)

PCR 11

BitLocker 访问控制

PCR 12

数据事件和高度易失性事件

PCR 13

启动模块详细信息

PCR 14

启动颁发机构

PCR 15 - 23

保留供将来使用

警告

从默认平台验证配置文件更改会影响设备的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。

如果省略了 PCR 7，则设置此策略会替代 “允许安全启动进行完整性验证 ”策略，防止 BitLocker 将安全启动用于平台或启动配置数据 (BCD) 完整性验证。

更新固件时，设置此策略可能会导致 BitLocker 恢复。如果将此策略设置为包含 PCR 0，请在应用固件更新之前暂停 BitLocker。建议不要配置此策略，以允许 Windows 根据每个设备上的可用硬件选择 PCR 配置文件，以实现安全性和可用性的最佳组合。

PCR 7 测量安全启动的状态。使用 PCR 7，BitLocker 可以使用安全启动进行完整性验证。安全启动可确保计算机的预启动环境仅加载由授权软件发布者进行数字签名的固件。 PCR 7 度量指示安全启动是否处于打开状态，以及平台上受信任的密钥。如果安全启动处于打开状态，并且固件根据 UEFI 规范正确测量了 PCR 7，则 BitLocker 可以绑定到此信息，而不是绑定到 PCR 0、2 和 4，PCR 0、2 和 4 中加载了确切固件和 Bootmgr 映像的度量值。此过程可降低由于固件和映像更新而导致 BitLocker 在恢复模式下启动的可能性，并提供更大的灵活性来管理预启动配置。

PCR 7 测量必须遵循附录 A 受信任的执行环境 EFI 协议中所述的指导。

对于支持新式待机 (也称为Always On、Always Connected 电脑) 的系统，PCR 7 测量是必须满足的徽标要求。在此类系统上，如果正确配置了具有 PCR 7 测量和安全启动的 TPM，则 BitLocker 默认绑定到 PCR 7 和 PCR 11。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

配置对操作系统驱动器使用基于硬件的加密

使用此策略设置，可以管理 BitLocker 对操作系统驱动器上基于硬件的加密的使用，并指定它可以用于基于硬件的加密的加密算法。使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

如果启用此策略设置，则可以指定用于控制是否在不支持基于硬件加密的设备上使用基于 BitLocker 软件的加密而不是基于硬件的加密的选项。还可以指定是否要限制用于基于硬件的加密的加密算法和密码套件。

如果禁用此策略设置，BitLocker 无法对操作系统驱动器使用基于硬件的加密，并且默认情况下，在加密驱动器时，将使用基于 BitLocker 软件的加密。

如果不配置此策略设置，BitLocker 将使用基于软件的加密，而不考虑基于硬件的加密可用性。

注意

选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。分区驱动器时，将设置基于硬件的加密使用的加密算法。默认情况下，BitLocker 使用驱动器上配置的算法来加密驱动器。

通过 “限制基于硬件的加密允许的加密算法和密码套件 ”选项，可以限制 BitLocker 可用于硬件加密的加密算法。如果为驱动器设置的算法不可用，BitLocker 将禁用基于硬件的加密。加密算法由对象标识符 (OID) 指定。例如：

CBC 模式下的 AES 128 OID： 2.16.840.1.101.3.4.1.2

CBC 模式下的 AES 256 OID： 2.16.840.1.101.3.4.1.42

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

为操作系统驱动器配置密码的使用

此策略设置指定用于解锁受 BitLocker 保护的操作系统驱动器的密码的约束。如果操作系统驱动器上允许使用非 TPM 保护程序，则可以预配密码、强制实施复杂性要求以及配置最小长度。

重要提示

若要使复杂性要求设置生效，还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。

如果启用此策略设置，用户可以配置满足你定义要求的密码。若要对密码强制实施复杂性要求，请选择“ 要求复杂性”：

设置为 “需要复杂性”时，启用 BitLocker 以验证密码的复杂性时，必须连接到域控制器

设置为 “允许复杂性”时，尝试连接到域控制器，以验证复杂性是否符合策略设置的规则。如果未找到域控制器，则无论实际密码复杂程度如何，都接受密码，并将使用该密码作为保护程序对驱动器进行加密

设置为 “不允许复杂性”时，不会验证密码复杂性

密码必须至少为 8 个字符。若要为密码配置更大的最小长度，请在“最小密码长度”下指定所需的字符数

如果禁用或未配置此策略设置，则 8 个字符的默认长度约束适用于操作系统驱动器密码，并且不会进行复杂性检查。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

禁止标准用户更改 PIN 或密码

此策略允许配置是否允许标准用户更改用于保护操作系统驱动器的 PIN 或密码（如果他们可以先提供现有 PIN）。

如果启用此策略，标准用户无法更改 BitLocker PIN 或密码。

如果禁用或未配置此策略，标准用户可以更改 BitLocker PIN 和密码。

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

启用 BitLocker 身份验证，要求在平板电脑上预启动键盘输入

此策略设置允许用户打开需要预启动环境中用户输入的身份验证选项，即使平台缺少预启动输入功能也是如此。 ) 平板电脑使用的 Windows 触摸键盘 (在 BitLocker 需要其他信息（如 PIN 或密码）的预启动环境中不可用。

如果启用此策略设置，设备必须具有预启动输入 (的替代方法，例如附加的 USB 键盘) 。

如果未启用此策略，则必须在平板电脑上启用 Windows 恢复环境，以支持输入 BitLocker 恢复密码。

建议管理员仅对已验证具有其他预启动输入方式（例如附加 USB 键盘）的设备启用此策略。

如果未启用 Windows 恢复环境 (WinRE) 且未启用此策略，则无法使用触摸键盘的设备打开 BitLocker。

如果未启用此策略设置，则 “启动时需要其他身份验证” 策略中的以下选项可能不可用：

配置 TPM 启动 PIN：必需和允许

配置 TPM 启动密钥和 PIN：必需和允许

为操作系统驱动器配置密码的使用

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

在操作系统驱动器上强制实施驱动器加密类型

此策略设置允许配置 BitLocker 驱动器加密使用的加密类型。

启用此策略设置时，BitLocker 安装向导中不提供加密类型选项：

选择完全加密以要求在 BitLocker 处于打开状态时加密整个驱动器

选择 “仅使用的空间加密 ”，要求在 BitLocker 处于打开状态时，仅加密用于存储数据的驱动器部分

如果禁用或未配置此策略设置，BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。

注意

如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。

收缩或扩展卷时忽略此策略，BitLocker 驱动程序使用当前加密方法。例如，当扩展使用仅使用空间加密的驱动器时，不会像使用完全加密的驱动器那样擦除新的可用空间。用户可以使用以下命令擦除 “仅使用的空间 ”驱动器上的可用空间： manage-bde.exe -w。如果卷收缩，则不会对新的可用空间执行任何操作。

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

启动时需要其他身份验证

此策略设置配置每次设备启动时 BitLocker 是否需要额外的身份验证。

如果启用此策略，用户可以在 BitLocker 安装向导中配置高级启动选项。

如果禁用或不配置此策略设置，则用户只能在具有 TPM 的计算机上配置基本选项。

注意

启动时只能需要一个附加的身份验证选项，否则会发生策略错误。

如果要在没有 TPM 的设备上使用 BitLocker，请选择选项 “允许没有兼容的 TPM 的 BitLocker”。在此模式下，启动需要密码或 U 盘。

使用启动密钥时，用于加密驱动器的密钥信息存储在 U 盘上，从而创建 USB 密钥。插入 USB 密钥时，将对驱动器的访问进行身份验证，并且可以访问驱动器。如果 USB 密钥丢失或不可用，或者忘记了密码，则必须使用 BitLocker 恢复选项之一来访问驱动器。

在具有兼容 TPM 的计算机上，启动时可以使用四种类型的身份验证方法，为加密数据提供额外的保护。计算机启动时，可以使用：

仅限 TPM

包含启动密钥的 U 盘

PIN (6 位到 20 位)

PIN + U 盘

注意

如果要要求使用启动 PIN 和 U 盘，则必须使用命令行工具 manage-bde 而不是 BitLocker 驱动器加密设置向导来配置 BitLocker 设置。

支持 TPM 的设备有四个选项：

配置 TPM 启动

允许 TPM

需要 TPM

不允许 TPM

配置 TPM 启动 PIN

允许使用 TPM 启动 PIN

需要使用 TPM 启动 PIN

不允许使用 TPM 启动 PIN

配置 TPM 启动密钥

允许使用 TPM 的启动密钥

需要使用 TPM 的启动密钥

不允许使用 TPM 的启动密钥

配置 TPM 启动密钥和 PIN

允许使用 PIN 的 TPM 启动密钥

需要具有 TPM 的启动密钥和 PIN

不允许使用 PIN 的 TPM 启动密钥

路径

CSP

./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

在 BitLocker 恢复后重置平台验证数据

此策略设置确定在 BitLocker 恢复后启动 Windows 时是否应刷新平台验证数据。平台验证数据配置文件由一组平台配置寄存器中的值组成， (从 0 到 23 的 PCR) 索引。

如果启用此策略设置，则当 Windows 在 BitLocker 恢复后启动时，平台验证数据将刷新。这是默认行为。

如果禁用此策略设置，则当 Windows 在 BitLocker 恢复后启动时，平台验证数据将不会刷新。

有关恢复过程的详细信息，请参阅 BitLocker 恢复概述。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

使用增强的启动配置数据验证配置文件

此策略设置确定在平台验证期间要验证的特定启动配置数据 (BCD) 设置。平台验证使用平台验证配置文件中的数据，该配置文件由一组平台配置寄存器 (PCR) 范围从 0 到 23 的索引组成。

如果未配置此策略设置，设备将验证默认的 Windows BCD 设置。

注意

当 BitLocker 使用安全启动进行平台和 BCD 完整性验证时，如允许安全启动完整性验证策略设置所定义，则忽略此策略设置。控制启动调试 0x16000010 的设置始终经过验证，如果包含在包含或排除列表中，则它不起作用。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器

策略名称

CSP

Gpo

选择如何恢复受 BitLocker 保护的固定驱动器

✅

配置对固定数据驱动器使用基于硬件的加密

❌

✅

配置固定数据驱动器的密码使用

❌

✅

在固定数据驱动器上配置智能卡的使用

❌

✅

拒绝对不受 BitLocker 保护的固定驱动器的写访问

✅

在固定数据驱动器上强制实施驱动器加密类型

✅

选择如何恢复受 BitLocker 保护的固定驱动器

此策略设置允许在缺少所需的启动密钥信息的情况下控制如何恢复受 BitLocker 保护的固定数据驱动器。如果启用此策略设置，则可以控制用户可从受 BitLocker 保护的固定数据驱动器恢复数据的方法。下面是可用的选项：

允许基于证书的数据恢复代理：指定数据恢复代理是否可以与受 BitLocker 保护的固定数据驱动器一起使用。必须先从组策略管理控制台或本地组策略编辑器的公钥策略项添加数据恢复代理，然后才能使用数据恢复代理

配置 BitLocker 恢复信息的用户存储：选择是允许、需要还是不允许用户生成 48 位恢复密码或 256 位恢复密钥

将 BitLocker 恢复信息保存到Active Directory 域服务：选择要在 AD DS 中存储固定数据驱动器的 BitLocker 恢复信息。如果选择 “备份恢复密码和密钥包”，则 BitLocker 恢复密码和密钥包都存储在 AD DS 中。存储密钥包支持从物理损坏的驱动器恢复数据。如果选择“ 仅备份恢复密码”，则仅恢复密码存储在 AD DS 中

在将恢复信息存储在固定数据驱动器的 AD DS 中之前，请勿启用 BitLocker：除非设备已连接到域，并且 BitLocker 恢复信息备份到 AD DS 成功，否则阻止用户启用 BitLocker。使用此选项时，会自动生成恢复密码。

重要提示

如果启用了 “拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限 ”策略设置，则必须禁止使用恢复密钥。

路径

CSP

./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器

配置对固定数据驱动器使用基于硬件的加密

使用此策略设置，可以管理 BitLocker 对固定数据驱动器上基于硬件的加密的使用，并指定它可以与基于硬件的加密配合使用的加密算法。使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

如果禁用此策略设置，则 BitLocker 无法对固定数据驱动器使用基于硬件的加密，在加密驱动器时，将默认使用基于 BitLocker 软件的加密。

如果不配置此策略设置，BitLocker 将使用基于软件的加密，而不考虑基于硬件的加密可用性。

注意

CBC 模式下的 AES 128 OID： 2.16.840.1.101.3.4.1.2

CBC 模式下的 AES 256 OID： 2.16.840.1.101.3.4.1.42

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器

配置固定数据驱动器的密码使用

此策略设置指定是否需要密码才能解锁受 BitLocker 保护的固定数据驱动器。如果选择允许使用密码，则可以要求使用密码、强制实施复杂性要求并配置最小长度。

重要提示

若要使复杂性要求设置生效，还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。

如果启用此策略设置，用户可以配置满足你定义要求的密码。若要对密码强制实施复杂性要求，请选择“ 要求复杂性”：

设置为 “需要复杂性”时，启用 BitLocker 以验证密码的复杂性时，必须连接到域控制器

设置为 “不允许复杂性”时，不会验证密码复杂性

密码必须至少为 8 个字符。若要为密码配置更大的最小长度，请在“最小密码长度”下指定所需的字符数

如果禁用或未配置此策略设置，则 8 个字符的默认长度约束适用于操作系统驱动器密码，并且不会进行复杂性检查。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器

在固定数据驱动器上配置智能卡的使用

使用此策略设置，可以指定是否可以使用智能卡对用户对受 BitLocker 保护的固定数据驱动器的访问进行身份验证。

如果启用此策略设置，则可以使用智能卡对用户对驱动器的访问权限进行身份验证

可以通过选择“需要在固定数据驱动器上使用智能卡”选项来要求进行智能卡身份验证

如果禁用此策略设置，则用户无法使用智能卡对 BitLocker 保护的固定数据驱动器的访问权限进行身份验证

如果未配置此策略设置，可以使用智能卡对用户对受 BitLocker 保护的驱动器的访问权限进行身份验证

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器

拒绝对不受 BitLocker 保护的固定驱动器的写访问

此策略设置用于在授予写入访问权限之前要求加密固定驱动器。

如果启用此策略设置，所有不受 BitLocker 保护的固定数据驱动器都将装载为只读。如果驱动器受 BitLocker 保护，它将装载具有读取和写入访问权限。

如果禁用或未配置此策略设置，将装载计算机上的所有固定数据驱动器，并具有读取和写入访问权限。

注意

启用此策略设置后，当用户尝试将数据保存到未加密的固定数据驱动器时，会收到 “拒绝访问 ”错误消息。

如果在启用此策略设置时在计算机上执行 BitLocker 驱动器准备工具BdeHdCfg.exe ，可能会遇到以下问题：

如果尝试收缩驱动器以创建系统驱动器，则会成功减小驱动器大小，并创建原始分区。但是，原始分区未设置格式。显示以下错误消息：无法格式化新的活动驱动器。可能需要手动为 BitLocker 准备驱动器。

如果尝试使用未分配的空间来创建系统驱动器，则会创建一个原始分区。但是，不会设置原始分区的格式。显示以下错误消息：无法格式化新的活动驱动器。可能需要手动为 BitLocker 准备驱动器。

如果尝试将现有驱动器合并到系统驱动器中，该工具无法将所需的启动文件复制到目标驱动器以创建系统驱动器。显示以下错误消息： BitLocker 安装程序无法复制启动文件。可能需要手动为 BitLocker 准备驱动器。

路径

CSP

./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器

在固定数据驱动器上强制实施驱动器加密类型

此策略设置控制在固定数据驱动器上使用 BitLocker。

如果启用此策略设置，则 BitLocker 用于加密驱动器的加密类型由此策略定义，并且 BitLocker 安装向导中不会显示加密类型选项：

选择完全加密以要求在 BitLocker 处于打开状态时加密整个驱动器

选择 “仅使用的空间加密 ”，要求在 BitLocker 处于打开状态时，仅加密用于存储数据的驱动器部分

如果禁用或未配置此策略设置，BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。

注意

如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。

路径

CSP

./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器

策略名称

CSP

Gpo

选择如何恢复受 BitLocker 保护的可移动驱动器

❌

✅

配置对可移动数据驱动器使用基于硬件的加密

❌

✅

为可移动数据驱动器配置密码的使用

❌

✅

在可移动数据驱动器上配置智能卡的使用

❌

✅

控制在可移动驱动器上使用 BitLocker

✅

拒绝对不受 BitLocker 保护的可移动驱动器的写访问

✅

在可移动数据驱动器上强制实施驱动器加密类型

✅

从加密中排除的可移动驱动器

✅

❌

选择如何恢复受 BitLocker 保护的可移动驱动器

通过此策略设置，可以控制在没有所需的启动密钥信息的情况下如何恢复受 BitLocker 保护的可移动数据驱动器。如果启用此策略设置，则可以控制用户可从受 BitLocker 保护的可移动数据驱动器恢复数据的方法。下面是可用的选项：

允许基于证书的数据恢复代理：指定数据恢复代理是否可以与受 BitLocker 保护的可移动数据驱动器一起使用。必须先从组策略管理控制台或本地组策略编辑器的公钥策略项添加数据恢复代理，然后才能使用数据恢复代理

配置 BitLocker 恢复信息的用户存储：选择是允许、需要还是不允许用户生成 48 位恢复密码或 256 位恢复密钥

将 BitLocker 恢复信息保存到Active Directory 域服务：选择要在 AD DS 中存储的可移动数据驱动器的 BitLocker 恢复信息。如果选择 “备份恢复密码和密钥包”，则 BitLocker 恢复密码和密钥包都存储在 AD DS 中。存储密钥包支持从物理损坏的驱动器恢复数据。如果选择“ 仅备份恢复密码”，则仅恢复密码存储在 AD DS 中

在可移动数据驱动器的恢复信息存储在 AD DS 中之前，请勿启用 BitLocker：除非设备已连接到域并将 BitLocker 恢复信息备份到 AD DS 成功，否则阻止用户启用 BitLocker。使用此选项时，会自动生成恢复密码。

重要提示

如果启用了 “拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限 ”策略设置，则必须禁止使用恢复密钥。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器

配置对可移动数据驱动器使用基于硬件的加密

使用此策略设置，可以管理 BitLocker 对可移动数据驱动器基于硬件的加密的使用，并指定它可以与基于硬件的加密配合使用的加密算法。使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

如果禁用此策略设置，则 BitLocker 无法对可移动数据驱动器使用基于硬件的加密，在加密驱动器时，将默认使用基于 BitLocker 软件的加密。

如果不配置此策略设置，BitLocker 将使用基于软件的加密，而不考虑基于硬件的加密可用性。

注意

CBC 模式下的 AES 128 OID： 2.16.840.1.101.3.4.1.2

CBC 模式下的 AES 256 OID： 2.16.840.1.101.3.4.1.42

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器

为可移动数据驱动器配置密码的使用

此策略设置指定是否需要密码才能解锁受 BitLocker 保护的可移动数据驱动器。如果选择允许使用密码，则可以要求使用密码、强制实施复杂性要求并配置最小长度。

重要提示

若要使复杂性要求设置生效，还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。

如果启用此策略设置，用户可以配置满足你定义要求的密码。若要对密码强制实施复杂性要求，请选择“ 要求复杂性”：

设置为 “需要复杂性”时，启用 BitLocker 以验证密码的复杂性时，必须连接到域控制器

设置为 “不允许复杂性”时，不会验证密码复杂性

密码必须至少为 8 个字符。若要为密码配置更大的最小长度，请在“最小密码长度”下指定所需的字符数

如果禁用或未配置此策略设置，则 8 个字符的默认长度约束适用于操作系统驱动器密码，并且不会进行复杂性检查。

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器

在可移动数据驱动器上配置智能卡的使用

使用此策略设置，可以指定是否可以使用智能卡对用户对受 BitLocker 保护的可移动数据驱动器的访问进行身份验证。

如果启用此策略设置，则可以使用智能卡对用户对驱动器的访问权限进行身份验证

可以通过选择“需要在可移动数据驱动器上使用智能卡”选项来要求进行智能卡身份验证

如果禁用此策略设置，则用户无法使用智能卡对受 BitLocker 保护的可移动数据驱动器的访问权限进行身份验证

如果未配置此策略设置，可以使用智能卡对用户对受 BitLocker 保护的驱动器的访问权限进行身份验证

路径

CSP

不可用

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器

控制在可移动驱动器上使用 BitLocker

此策略设置控制对可移动数据驱动器的 BitLocker 的使用。

启用此策略设置后，可以选择控制用户配置 BitLocker 的方式的属性设置：

选择 “允许用户对可移动数据驱动器应用 BitLocker 保护 ”以允许用户在可移动数据驱动器上运行 BitLocker 安装向导

选择 “允许用户暂停和解密可移动数据驱动器上的 BitLocker ”，以允许用户从驱动器中删除 BitLocker 加密，或者在执行维护时暂停加密

如果禁用此策略设置，则用户无法在可移动磁盘驱动器上使用 BitLocker。

路径

CSP

./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器

拒绝对不受 BitLocker 保护的可移动驱动器的写访问

此策略设置配置设备是否需要 BitLocker 保护才能将数据写入可移动数据驱动器。

如果启用此策略设置：

所有不受 BitLocker 保护的可移动数据驱动器都装载为只读

如果驱动器受 BitLocker 保护，则使用读取和写入访问权限装载该驱动器

如果选择了 “拒绝对另一个组织中配置的设备的写入访问权限 ”选项，则仅向标识字段与计算机的标识字段匹配的驱动器提供写入访问权限

访问可移动数据驱动器时，会检查其是否有效标识字段和允许的标识字段。这些字段由 (为组织提供唯一标识符) [] 策略设置定义

如果禁用或未配置此策略设置，将装载计算机上的所有可移动数据驱动器，并具有读取和写入访问权限。

注意

如果启用了可移动磁盘：拒绝写入访问的策略设置，则忽略此策略设置。

重要提示

如果启用此策略：

必须禁止将 BitLocker 与 TPM 启动密钥或 TPM 密钥和 PIN 配合使用

必须禁止使用恢复密钥

路径

CSP

./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器

在可移动数据驱动器上强制实施驱动器加密类型

此策略设置控制对可移动数据驱动器的 BitLocker 的使用。

启用此策略设置时，BitLocker 安装向导中不提供加密类型选项：

选择完全加密以要求在 BitLocker 处于打开状态时加密整个驱动器

选择 “仅使用的空间加密 ”，要求在 BitLocker 处于打开状态时，仅加密用于存储数据的驱动器部分

如果禁用或未配置此策略设置，BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。

注意

如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。

路径

CSP

./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

Gpo

计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器

从加密中排除的可移动驱动器

路径

CSP

./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

Gpo

不可用

BitLocker 和策略设置符合性

如果设备不符合配置的策略设置，则 BitLocker 可能未打开，或者 BitLocker 配置可能被修改，直到设备处于合规状态。当驱动器不符合策略设置时，仅允许对 BitLocker 配置进行更改以使其符合性。例如，如果以前加密的驱动器因策略设置更改而变得不符合，则可能会出现这种情况。

如果需要进行多项更改才能使驱动器符合性，可能需要暂停 BitLocker 保护，进行必要的更改，然后恢复保护。例如，如果可移动驱动器最初配置为使用密码解锁，然后将策略设置更改为需要智能卡，则可能会出现这种情况。在此方案中，需要暂停 BitLocker 保护，删除密码解锁方法，并添加智能卡方法。此过程完成后，BitLocker 符合策略设置，并且可以恢复驱动器上的 BitLocker 保护。

在其他情况下，若要使驱动器符合策略设置的更改，可能需要禁用 BitLocker 并解密驱动器，然后重新启用 BitLocker，然后重新加密驱动器。此方案的一个示例是当 BitLocker 加密方法或密码强度发生更改时。

若要详细了解如何管理 BitLocker，请查看 BitLocker 操作指南。

配置和管理服务器

通常使用 PowerShell 部署、配置和管理服务器。建议使用组策略设置在服务器上配置 BitLocker，并使用 PowerShell 管理 BitLocker。

BitLocker 是 Windows Server 中的可选组件。按照在 Windows Server 上安装 BitLocker 中的说明添加 BitLocker 可选组件。

最精简的服务器界面是一些 BitLocker 管理工具的先决条件。在服务器核心安装中，必须首先添加必要的 GUI 组件。结合使用按需功能和更新的系统与修补的映像和如何更新本地源媒体以添加角色和功能中介绍了将 shell 组件添加到服务器核心的步骤。如果手动安装服务器，则选择具有桌面体验的服务器是最简单的路径，因为它可避免执行将 GUI 添加到服务器核心的步骤。

熄灯的数据中心可以利用第二个因素的增强安全性，同时通过选择性地使用 BitLocker (TPM+PIN) 和 BitLocker 网络解锁的组合来避免在重启期间用户干预的需要。 BitLocker 网络解锁融合了最好的硬件保护、位置依赖关系和自动解锁，同时处于受信任的位置。有关配置步骤，请参阅网络解锁。

后续步骤

查看 BitLocker 操作指南，了解如何使用不同的工具来管理和操作 BitLocker。

BitLocker 操作指南 >

反馈

此页面是否有帮助？

是

否

提供产品反馈

反馈

提交和查看相关反馈

此产品

此页面

查看所有页面反馈

其他资源

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

其他资源

本文内容

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

正确食用Bitlocker - 少数派

PRIMEMatrix栏目Pi Store更多无需申请，自由写作任何用户都可使用写作功能。成功发布 3 篇符合基本规则的内容，可成为正式作者。了解更多退出登录反馈PRIMEMatrix栏目Pi Store更多正确食用Bitlocker主作者关注Ed_少数派作者少数派作者 Ed_关注Ed_少数派作者少数派作者联合作者关注Ed_少数派作者少数派作者 Ed_关注Ed_少数派作者少数派作者 2020 年 11 月 28 日在Windows下使用Bitlokcer保护存储设备里的数据是有必要的，尤其是所使用的笔记本、移动硬盘经常出差往外带，还放了隐私数据等不能为外人看的东西，使用Bitlocker是必要的。Bitlocker能做什么Bitlocker可以对存储设备做硬件加密，防止设备丢失时，导致文件内容被别人破解查看。这些设备包括电脑硬盘、移动硬盘、U盘及其它可以被Bitlocker加密的存储设备。Bitlocker在平时并没有什么可见的用处，但Bitlocker应对的是万一，当这个万一发生时可以防止存储设备内的数据被非授权查看，我们启用Bitlocker，但并不希望有它发挥作用的一天。首先要了解的对性能的影响对硬盘的写入有一定的影响，但很小，尤其是当今SSD当道的时代，基本可能忽略，个人使用过程中没发现有什么影响。关于对性能的影响可以参看末尾的介绍。对日常操作的影响绝大部分场景都可以使用自动解锁的方式实现对用户的透明效果。少部分场景会要求输入PIN码，如下：设置系统盘启用了开机为必须输入PIN码时，在电脑开机加载系统前会要求输入PIN码；移动存储设备中启用Bitlocker，一般会使用PIN码解锁，方便在其他人的电脑上使用，自己的或者常用电脑可以在解锁时勾选自动解锁，前提是这台电脑的系统盘必须已启用Bitlocker，因为自动解锁的实现方式是以在Windows系统盘存储一个对应的解锁密钥，得确保该密钥存储的地方也是受加密保护、不会被随意盗取的。使用Bitlocker的前置条件使用Windows系统平台良好的Windows账户配置习惯良好的密钥、密码保存恢复策略良好的数据备份习惯前置条件有一部分是硬性要求，比如在Windows平台下可以良好运行，而其它平台未必，而其它的条件是为了防止意外情况的发生，比如丢失解锁密钥，比如设备故障。这个时候Bitloker可能反而成为数据恢复的阻碍，我们需要防止这些事情发生。为什么要有良好的账户配置习惯Bitlocker的配置是可以被管理员账户改变的，如果你像我一样在组策略中设置了只要求TPM即可解锁系统盘，那么开机会直接到Windows登陆界面，如果你的账户没有密码，那就是长驱直入了，尤其是如果你的管理员账户还没密码，那Bitlocker就是个摆设而已，所以设置好你的账户密码，尤其是管理员账户,可以使用lusrmgr.msc管理你的Windows账户。备份好密钥简单来说，Bitlocker的解锁方式主要有三种，TPM、PIN、恢复密钥。TPM是在主板上的硬件芯片，可以存储各种证书密钥，不是所有电脑都有，PIN就是自己设置的一个解锁密码，恢复密钥是一个最短48位的数字，可以被制作成密钥文件存储于U盘作为解密工具。我们要做的就是妥善保管恢复密钥和这个密钥对应的ID。这是最重要的一件事情，不要相信自己的记忆能力。当忘记移动盘PIN，或者TPM密钥失效需要解锁的时候，备份的密钥是必不可少的，所以密钥的保存就是必须的，这里推荐使用Keepass之类的密码管理软件进行存储管理。存储安全，取用方便。或者打印出来放好。良好的数据备份习惯比使用Bitlocker保护数据更重要的是数据的备份，之前有写过简易个人数据备份方案，很简单，但实现了3-2-1的数据备份要求。做好了备份的情况下，不论是遇到Bitlocker锁定，还是SSD硬盘故障，都是不算事，如果你不幸碰到了必须恢复Bitlocker的情况，也许可以尝试使用 BitLocker Repair Tool 救一命。Bitlocker 使用操作简介启用Bitlocker很简单，但是完善的使用Bitlocker并不是简单的启用就行了，需要一系列的准备工作，以更好的使用，并防止各种意外导致的额外损失，上面已经做了相应的介绍。这里并不会过多阐述操作Bitlocker的具体操作方法，只简单指出下面几点，更多的可以通过微软的说明进行了解。简单使用点击开始菜单，输入Bitlocker进行搜索即可找到控制面板中的Bitlocker管理面板。可实现加密、解密及密钥备份等操作，够用。进阶操作如果想要进一步了解操作bitlocker，通过命令行工具 manage-bde.exe 可以实现配置选项通过组策略（gpedit.msc）可以实现Bitlocker选项的配置，比如加密复杂度、开机解锁方式等，可以尝试研究一下参考Bitlocker: https://docs.microsoft.com/en-gb/windows/security/information-protection/bitlocker/bitlocker-overviewBitLocker Repair Tool: https://www.microsoft.com/en-us/download/details.aspx?id=17294性能影响：https://www.xieyidian.com/307922扫码分享 #Windows

2 等 2 人为本文章充电扫码分享

举报本文章

举报 Ed_少数派作者

关注

全部评论(2)

请在登录后评论...

BitLocker 是什么，有什么作用？ - 知乎

BitLocker 是什么，有什么作用？ - 知乎首页知乎知学堂发现等你来答切换模式登录/注册作用Windows 10bitlockBitLocker 是什么，有什么作用？我一直有一个疑问，BitLocker作为一个加密平台或者程序，有着极其不稳定的因素存在，如加解密卡进度，解密\加密完成之后重启系统损坏无法使用等等问题…显示全部关注者111被浏览1,084,481关注问题写回答邀请回答好问题 133 条评论分享22 个回答默认排序pansz知乎十年新知答主关注bitlocker是硬盘加密，针对的是冠希哥那种事，就是别人拿了你的电脑然后把硬盘数据都导出去的那种。就是说不能正常登录的话就不让别人查看硬盘内的数据。数据怕丢可以在服务器存个备份，用移动硬盘存也行。对我来说所有重要数据都不可能只有一份。本机不想加密的数据可以存第二个物理硬盘，毕竟一般自己加的副盘都不上bitlocker的。发布于 2021-12-10 23:14赞同 11050 条评论分享收藏喜欢收起路人甲Вперед,даварих,топтатьфашистов 关注先说加密“卡进度”这回事，其实是不存在的。做一个类比，你去用一下NFTS自带的加密，看看有卡进度这回事没？（实际上会影响到一点性能，这是真的是一点，远远不到“卡”的程度）它们虽然不是同一个东西，但是工作原理是有相似之处的。这是一个历史非常古老的功能，性能和可靠性已经经过了全球不知道多少用户的验证了，所以卡进度、文件损坏云云，过于想当然了。至于说你复制出来的文件也能打开，那是完全错误理解了这个功能的真实作用。等于是再说，保险柜就是为了防盗的，为什么打开门了还能拿出正常的钞票——这不是开玩笑么，你开了保险柜门啊！它的设计用途就是防窃取、防丢失“后”泄密，而是不防“窃取”这个动作。当你的电脑被人偷走的时候，贼人没有密码就无法打开硬盘，从而无法完成“拷贝”这个动作。你自己用的时候，是输入密码“解锁”了加密的硬盘，自然是可以顺畅拷贝。两者不是一回事。这种“丢失”场合下，贼人会做什么呢？1、开机进windows——没密码进不去2、U盘／光盘启动——进了U盘／光盘系统能够，但是硬盘还是没密码进不去３、拆机，把硬盘挂到别的电脑上——等同于２，硬盘没密码进不去４、格盘——你的数据损失了，但是没有被盗用。这是bitlocker正确的使用姿势，另可毁弃，也不怕被贼人所用。重点不在于被偷，而在于被偷之后。５、磁盘恢复——全都加密了，恢复不出东西来所以，看出什么来了？相对于题主说的笔记本，它更适合于优盘、移动硬盘嘛！在一些敏感领域，比如金融证券、政府机关、军事国防，这种加密完全是标配，不要以为个人就是全部用户群体。你看，微软就很清楚给什么人用什么功能，HOME版和企业版在这个功能提供上就做了区分对待了嘛。编辑于 2021-12-18 11:16赞同 342 条评论分享收藏喜欢

im钱包官方下载 数字资产服务平台

比特派官方版app下载|bitlocker

在 Windows 中查找 BitLocker 恢复密钥 - Microsoft 支持

windows自带磁盘加密工具BitLocker用法详细讲解 - 知乎

BitLocker 操作指南 - Windows Security | Microsoft Learn

BitLocker 概述 - Windows Security | Microsoft Learn

【科普】Win10电脑的Bitlocker是什么？蓝屏锁了怎么办？ - 知乎

打开设备加密 - Microsoft 支持

Windows 10 中的设备加密 - Microsoft 支持

配置 BitLocker - Windows Security | Microsoft Learn

正确食用Bitlocker - 少数派

BitLocker 是什么，有什么作用？ - 知乎

im钱包官方下载
数字资产服务平台