使用 BitLocker 加密你的 Windows 设备和U盘

近期遇到一些朋友希望我推荐一款加密电脑硬盘和U盘的软件,以防止设备落入他人之手时数据被窃。其实完全不需要借助第三方软件,只要你的Windows 操作系统支持 BitLocker 功能就可以完美实现保护私家珍藏的目的。

 

什么是 BitLocker?

 

BitLocker 是微软公司在 Windows Vista 时期开始提供的一项数据保护功能,通过 AES-CBC 或 AES-XTS(Windows 10)对 Windows 卷加密,让没有密钥的访客无权访问卷内容。

请注意,这里它是针对卷的保护,而不是分区,这里需要理清楚一个概念。卷可以是一个分区,我们叫做简单卷,也可以是多个分区的集合。但除非在服务器上应用,通常都是一个简单卷包含一个分区。

 

BitLocker 安全么?

BitLocker 采用 128 至 256 位 AES 加密,能不能破解我不知道,至少我觉得目前来说是很难很难的。

 

BitLocker 内置在哪些操作系统里?

尽管从 Windows Vista 开始,BitLocker 功能就内置在 Windows 中,但由于商业策略考虑,并不是所有的 Windows 版本都内置了这项功能。你可以通过以下列表了解你的系统是否被支持:

 

Windows Vista:Enterprise、Ultimate

Windows 7:Professional 、Enterprise、Ultimate

Windows 8/8.1:Professional 、Enterprise

Windows 10:Pro、Enterprise、Education

 

其中 Windows 8.1 with bing 出厂镜像对系统卷启动了 Bitlocker,但不支持对其它卷的加密。

 

如何对电脑磁盘使用 BitLocker 加密?

① 对需要加密的磁盘右键单击选择 启用 BitLocker

② 选择解锁方式,这里推荐 使用密码解锁,按要求输入密码后单击下一步。

③ 选择备份恢复密钥的方式,请注意,要是丢失密码或者任何其他解锁凭据,需要使用该密钥恢复,如果选择保存到 Microsoft 账户,则会将此密钥备份到你的 OneDrive 中。

④ 选择加密方式:

   (1)选择仅加密已用磁盘空间,加密速度和你的已用磁盘空间有关,这样速度最快,但仅加密已经使用的磁盘空间。

   (2)选择加密整个驱动器,速度就会比较慢,但因为它是针对整个驱动器,乃至空白空间或者是已删除数据的空间都会进行保护,因此如果你有时间和必要,尽量选择这种加密方式。

⑤ 选择加密模式(只针对 Windows 10):你可以选择 新加密模式(AES-XTS)或是 兼容模式(AES-CBC),如果是 Windows 10 直接选择新加密模式即可。

 

如果是针对系统盘加密:

Ⅰ 如果你的电脑具备 TPM 1.2 以上版本的安全芯片,则可以正常启用加密。

Ⅱ 如果你的电脑没有 TPM 安全芯片,由于 BitLocker 无法在启动操作系统前为你解锁驱动器,所以默认是不能你开启系统盘的加密,但如果你愿意每次启动时手动输入密码解锁以启动操作系统。可以跟随以下操作:

        ① 按下 Windows 徽标键 + R 打开运行窗口

        ② 输入 gpedit.msc 并回车打开本地组策略管理器

        ③ 进入 管理模板 -> Windows 组件 -> BitLocker 驱动器加密 -> 操作系统驱动器 -> 启动时需要附加身份验证

        ④ 将配置更改为 已启用,然后应用。尝试再次对系统盘启动 BitLocker。

        ⑤ 你可以选择使用 U盘 或者 密码 来手动解锁系统盘,每次开机前,将会使用你选择的解锁方式,然后才能启动操作系统。

 

如何对U盘或者移动硬盘使用 BitLocker 加密?

BitLocker 也一样可以支持对移动存储设备加密,这样,如果不慎遗失或者被人盗窃你的移动存储设备,无需担心数据外泄。启用方法参照上文,这样每次都需要输入密码才可以打开驱动器,或者也可以在特定电脑上启动自动解锁功能。在 Windows Vista 或者 Windows XP 中,有些 BitLocker 功能无法被支持,此时会启用一个叫做 BitLocker to Go 的功能,可以在 Windows Vista 或者 Windows XP 中读取文件,但不可写入。

目前官方并未对 Mac OSX、Linux 等操作系统提供 BitLocker to Go 的支持,所以,如果你打算在可移动磁盘中启动 BitLocker,则需要考虑是否有跨平台使用需求。

发表评论