侧边栏壁纸
博主头像
Narutoの博客

行动起来,活在当下

  • 累计撰写 46 篇文章
  • 累计创建 24 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录
Windows

BitLocker 加密与解密

Naruto
Naruto
2024-06-11 / 0 评论 / 0 点赞 / 5 阅读 / 0 字

一、使用 BitLocker 加密 C 盘

  • 有 TPM 芯片的电脑加密 C 盘后,默认会自动解密
  • 假如一块硬盘上有四个分区,C、D、E、F,那就需要分别加密,备份四份恢复密钥

[1] 没有 TPM 芯片开启 BitLocker

  1. 搜索栏输入 gpedit 后 启动本地组策略, 计算机配置 > 管理模板 > Windows 组件 > Bitlocker 驱动器加密 > 操作系统驱动器 > 启动时需要附加身份验证

  2. 选择 "已启用" ,然后勾选 "没有兼容的 TPM 时允许 Bitlocker" ,最后点击 "确定"

[2] TPM -> TPM+PIN

一般模式

  1. 搜索栏输入 gpedit 后 启动本地组策略, 计算机配置 > 管理模板 > Windows 组件 > Bitlocker 驱动器加密 > 操作系统驱动器 > 启动时需要附加身份验证

  2. 选择 未配置 ,然后点击 "确定"

  3. 正常使用 BitLocker 加密

  4. 搜索栏输入 gpedit 后 启动本地组策略, 计算机配置 > 管理模板 > Windows 组件 > Bitlocker 驱动器加密 > 操作系统驱动器 > 启动时需要附加身份验证

  5. 选择 "已启用" ,在配置 TPM需要启动PIN 那里选择 "有 TPM 时启动需要 PIN",然后点击 "确定"

  6. 搜索栏输入 cmd 后,以 "管理员身份运行" ,输入以下命令,然后依据提示设置 PIN(最少 6 位数字)

  7. manage-bde -protectors -add c: -TPMAndPIN

    PS C:\Windows\system32> manage-bde -protectors -add c: -TPMAndPIN
BitLocker 驱动器加密: 配置工具版本 10.0.19041
版权所有 (C) 2013 Microsoft Corporation。保留所有权利。

请键入 PIN 以用来保护此卷:
请再次键入 PIN 以确认:
添加的密钥保护器:

    TPM 和 PIN:
      ID: {6B209ED8-E028-4094-9595-A8FDA769A344}
      PCR 验证配置文件:
        7, 11
        (使用安全引导进行完整性验证)

ID 为“{76ACF948-C25E-49CA-86EA-EE1A641D3437}”的密钥保护器已删除。

  8. 搜索栏输入 gpedit 后 启动本地组策略, 计算机配置 > 管理模板 > Windows 组件 > Bitlocker 驱动器加密 > 操作系统驱动器 > 启动时需要附加身份验证

  9. 选择 "未配置" ,然后点击 "确定"

  10. 更改完成

命令行模式

我们给 C 盘启动 Bitlocker 加密,使用 TPM+PIN 模式,并生成恢复用的密钥和密码,命令如下:

manage-bde -on C: -TPMAndPIN -RecoveryPassword -RecoveryKey 你想保存密钥的路径 -SkipHardwareTest
 
#解释如下:
-TPMAndPIN:使用 TPM 与 PIN 双重验证模式,可替换为你想要使用的模式。
-RecoveryPassword:生成在忘记PIN或更换电脑时恢复用的密码,密码将在成功启动Bitlocker后出现在命令行上,请妥善保管。
-RecoveryKey:生成作用同上的密钥文件,不能保存于已加密或将要加密的驱动器中,请妥善保管。
-SkipHardwareTest:略过硬件兼容性测试,选择双重/三重验证的方式时不使用此项会导致玄学问题,所以一定要开启。一般允许 Windows11 的电脑都有兼容的TPM芯片。

[3] TPM+PIN-> TPM

  1. 搜索栏输入 gpedit 后 启动本地组策略, 计算机配置 > 管理模板 > Windows 组件 > Bitlocker 驱动器加密 > 操作系统驱动器 > 启动时需要附加身份验证

  2. 选择 "已启用" ,在配置 TPM需要启动PIN 那里选择 "有 TPM 时启动允许 PIN",然后点击 "确定"

  3. 搜索栏输入 cmd 后,以 "管理员身份运行" ,输入以下命令

  4. manage-bde -protectors -add c: -TPM

  5. 更改完成

二、删除 BitLocker

win10 家庭版不能取消 BitLocker,也不支持组策略,要想取消 BitLocker 加密就要升级为专业版或者企业版

关闭 BitLocker

搜索栏输入 控制面板 ,选择大图标,BitLocker 驱动器加密,操作系统驱动器,选择需要关闭的设备,关闭即可

如果已经开启了 BitLocker,但是它没有显示取消加密选项

这时就需要清除 TPM,但是在清除 TPM 之前我们最好去掉电脑的开机密码,避免清除 TPM 后无法进入电脑或者需要重新设置

搜索栏输入 控制面板 ,选择大图标,BitLocker 驱动器加密,选择左边的 TPM管理,点击右边的清除 TPM,点击重新启动。稍后电脑就会重新启动后进入系统,这时我们就看到没有了启动 BitLocker,而是关闭 BitLocker 了。

0
private
版权归属: Naruto
本文链接: https://blog.narutos.top/archives/bitlocker
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区