启用 BitLocker 加密的 Windows,在每次系统开机时都会使用内置的 TPM 芯片对系统分区进行自动解密。通过手动配置,用户还可以将 U 盘制作成启动密钥,只有在系统启动前插入正确 U 盘才能对磁盘解密,并启动 Windows,这样一来我们便有效为 BitLocker 变相添加了一重硬件级别的双因素身份认证。
步骤一:启用BitLocker加密
1、首先,按 Win + S 组合键,或点击底部任务栏上的搜索图标。Windows 搜索窗口,顶部搜索框中,输入控制面板,然后点击打开系统给出的最佳匹配控制面板应用;
2、控制面板窗口,类别查看方式下,点击调整计算机的设置下的系统和安全;
3、系统和安全窗口,找到并点击BitLocker 驱动器加密;
4、BitLocker 驱动器加密窗口,将C盘,也就是系统盘,启用 BitLocker;
5、启用 BitLocker成功,会显示C: BitLocker 已启用;
默认情况下,Windows 系统分区会在系统启动时自动使用 TPM 芯片中存储的解密密钥进行解决并启动系统。如果你的计算机没有 TPM 芯片,可以对非系统磁盘使用 U 盘存放加密密钥以取代 TPM 芯片的作用。
步骤二:本地组策略编辑器设置
1、首先,按 Win + S 组合键,或点击底部任务栏上的搜索图标。Windows 搜索窗口,顶部搜索框中,输入本地组策略编辑器,然后点击打开系统给出的最佳匹配编辑组策略控制面板;
2、本地组策略编辑器窗口,左侧边栏点击计算机配置下的管理模板,右侧双击Windows 组件;
3、双击进入BitLocker 驱动器加密;
4、双击进入操作系统驱动器;
5、最后双击启动时需要附加身份验证;
6、启动时需要附加身份验证窗口,选择已启用,并将配置 TPM 启动密钥下面的选项,改为有 TPM 时需要启动密钥,再点击确定保存;
步骤三:使用manage-bde命令
1、首先,按 Win + X 组合键,或右键点击底部任务栏上的Windows 徽标。在打开的隐藏菜单项中,选择Windows 终端 (管理员);
2、管理员: Windows PowerShell窗口,输入并按回车执行以下命令:
manage-bde -protectors -add c: -TPMAndStartupKey F:
命令参数代表的意思:
c: 代表 Windows 系统所处分区的盘符
F: 代表 U 盘的盘符
3、配置完成后,当 Windows 下次启动时,便会要求插入制作好的 U 盘用于解密 BitLocker 加密的系统分区。此后,才能正常启动操作系统;
要查看 TPM 启动密钥 是否正确添加,可以使用这条命令:manage-bde –status
移除启动密钥方法
要移除 TPM 启动密钥 并恢复到 Windows 原有的自解密状态也非常简单,只需按前面步骤,将相同组策略路径中的配置 TPM 启动密钥更改为有 TPM 时允许启动密钥后,点击确定,再用 manage-bde -protectors -add c: -TPM 命令,将密钥重新写回 TPM 芯片即可。