这是一系列实用指南中的第一个。
如果你的电脑丢失或被盗,你可能会因更换电脑而感到畏缩。但这与如果有人可以不受限制地访问设备上的数据相比,那可算不了什么。即使他们无法使用您的Windows用户帐户登录,窃贼可以从可移动设备启动并浏览系统驱动器的内容而不受惩罚。
阻止这种噩梦的最有效方法是加密整个设备,使其内容仅对您或具有恢复密钥的人可用。
另外:
所有版本的Windows10自1511版(2015年11月发布)以来,包括XTS-AES 128位设备加密选项足够强大,甚至可以抵御最坚决的攻击。使用管理工具,您可以将加密强度增加到XTS-AES 256。
在现代设备上,加密代码还执行预引导系统完整性检查,以检测绕过引导加载程序的尝试。
BitLocker是Microsoft用于商业版加密工具的品牌名称Windows(桌面和服务器)。BitLocker设备加密功能的一个有限但仍然有效的子集在Windows10家庭版中也可用。以下是如何确保您的数据受到保护。
在所有为Windows 10设计的设备上(有关硬件要求,请参阅下一节),设备加密将自动启用。Windows安装程序会自动创建必要的分区,并使用一个清除的密钥初始化操作系统驱动器上的加密。要完成加密过程,必须执行以下步骤之一:
在支持硬件加密的自加密固态驱动器上,Windows 10将把加密和解密数据的工作卸载到硬件上。请注意,2018年11月首次披露的此功能中的漏洞可能会在某些情况下暴露数据。在这种情况下,您需要对SSD进行固件升级;在升级可用之前,您可以使用此Microsoft安全公告中的说明切换到软件加密:配置BitLocker以强制软件加密的指南Windows10仍然支持旧得多的加密文件系统功能。这是Windows 2000引入的基于文件和文件夹的加密系统。对于几乎所有现代硬件,BitLocker都是一个很好的选择。
实际上,最初为Windows 10制造的所有设备都满足这些要求。
在大多数情况下,BitLocker是一种“一劳永逸”的功能。对驱动器启用加密后,不需要任何维护。但是,您可以使用操作系统中内置的工具来执行各种管理任务。
最简单的工具在Windows图形界面中可用,但仅当您运行的是Windows 10 Pro或Enterprise时。打开文件资源管理器,右键单击任何驱动器图标,然后单击管理BitLocker。这会将您带到一个可以打开或关闭BitLocker的页面;如果系统驱动器已启用BitLocker,则可以暂时挂起加密或从此处备份恢复密钥。您还可以管理可移动驱动器和辅助内部驱动器上的加密。
![](“”class=“lazy”alt=“bitlocker管理”-工具.jpg")
这些管理工具仅在Windows 10 business Edition上可用。
在运行Windows 10 Home的系统上,您可以在“设置”>;“更新和恢复”>;“设备加密”下找到“开/关”按钮。如果尚未通过登录Microsoft帐户启用设备加密,则会出现一条警告消息。
另外:如何为您的OEM PC获取免费的Windows(或Linux)恢复映像
要获得更大的工具集,请打开命令提示符并使用两个内置BitLocker管理工具之一,使用其中一个可用的开关管理bde或修复bde。其中最简单、最有用的是manage-bde-status,它显示所有可用驱动器的加密状态。请注意,此命令适用于所有版本,包括Windows 10 Home。
有关交换机的完整列表,请键入manage-bde-?或修复bde-?
最后,Windows PowerShell包含一整套BitLocker cmdlet。例如,使用Get-BitLockerVolume可以查看当前系统上所有固定和可移动驱动器的状态。有关可用BitLocker cmdlet的完整列表,请参阅PowerShell BitLocker文档页
在正常情况下,当您使用为该设备授权的帐户登录到Windows 10时,您将自动解锁驱动器。如果您尝试以任何其他方式访问系统,例如从Windows 10安装驱动器或基于Linux的USB引导驱动器启动,系统将提示您输入一个恢复密钥以访问当前驱动器。如果固件更新以TPM无法识别的方式更改了系统,您可能还会看到恢复密钥的提示。
作为组织中的系统管理员,您可以使用恢复密钥(手动或在管理软件的帮助下)访问贵组织拥有的任何设备上的数据,即使用户不再是组织的一部分。
另外:中的“如何更新和管理硬盘”中的“加密”功能 如果使用Microsoft帐户启用设备加密,则恢复密钥将自动存储在云中。要查找密钥,请转到https://onedrive.com/recoverykey并使用关联的Microsoft帐户登录。(请注意,此选项适用于移动电话。)展开列表以查看其他详细信息和删除已保存密钥的选项。 展开任何列表以查看更多详细信息,包括密钥的创建日期和删除选项。 如果通过将Windows 10设备与Azure AD帐户连接来启用BitLocker加密,您会发现Azure AD配置文件下列出的恢复密钥。转到“设置”>;“帐户”>;“您的信息”,然后单击“管理我的帐户”。如果您使用的设备未在Azure AD中注册,转到https://account.activedirectory.windowsazure.com/profile并使用你的Azure AD凭据登录。 在设备下查找设备名称&;活动标题,然后单击获取BitLocker密钥以查看该设备的恢复密钥。请注意,您的组织必须允许使用此功能才能获得信息。 最后,在Windows 10的商务版上,您可以打印或保存恢复密钥的副本,并将文件或打印输出(或两者)存储在安全的地方。使用文件资源管理器中提供的管理工具访问这些选项。如果您使用Microsoft帐户启用了设备加密,并且不希望OneDrive中的恢复密钥可用 可移动存储设备也需要加密,请使用此选项。其中包括USB闪存驱动器以及可在某些电脑中使用的MicroSD卡。BitLocker To Go就是这样工作的。 要为可移动驱动器启用BitLocker加密,您必须运行Windows 10的商务版。您可以在运行任何版本(包括Windows 10 Home)的设备上解锁该设备。 作为加密过程的一部分,您需要设置用于解锁驱动器的密码。您还需要保存驱动器的恢复密钥。(它不会自动保存到云帐户。) 最后,您需要选择一种加密模式。如果计划在Windows 10上独占使用该设备,请使用新的加密模式(XTS-AES)选项。为您可能要在运行早期版本Windows的设备上打开的驱动器选择兼容模式。 下次将该设备插入Windows PC时,系统将提示您输入密码。单击“更多选项”并选中复选框,以便在您控制的受信任设备上轻松访问其数据。 使用“自动解锁”选项跳过在受信任设备上使用可移动驱动器时的密码。 如果您在Surface Pro等设备上使用MicroSD卡扩展存储容量,则该选项尤其有用。登录后,您的所有数据将立即可用。如果您丢失了可移动驱动器或被盗,则小偷无法访问其数据。![](“”class=“lazy”alt=“bitlocker恢复密钥”-onedrive.jpg")
![](”https://zdnet4.cbsistatic.com/hub/i/2019/01/11/192c6ea6-0d73-4471-8d1d-70724ee9cd63/bitlocker-recovery-keys-onedrive.jpg")
BitLocker to Go
