使用BitLocker可加密硬盘防止数据泄露,需TPM支持;2. 右键分区启用BitLocker,设置密码与恢复密钥,选择整个驱动器加密;3. 通过组策略配置加密算法与启动验证;4. 命令行使用manage-bde管理加密状态与保护机制。
如果您希望保护硬盘中的敏感数据不被未经授权访问,可以使用Windows系统自带的BitLocker功能对磁盘进行加密。此功能可有效防止设备丢失或被盗时数据泄露。
本文运行环境:联想ThinkPad X1 Carbon,Windows 11。
BitLocker是Windows提供的完整磁盘加密功能,通过与TPM(可信平台模块)协同工作,确保只有授权用户才能访问驱动器内容。启用该功能前需确认系统支持TPM 1.2或更高版本,并已开启相关服务。
1、右键点击需要加密的硬盘分区,选择“启用BitLocker”。
2、系统会检查是否满足BitLocker使用条件,若提示未启用TPM,需进入BIOS手动开启。
3、在弹出的窗口中选择解锁驱动器的方式,推荐使用密码解锁并勾选“插入智能卡时要求输入PIN码”(如有)。
4、选择恢复密钥保存方式,可将48位恢复密钥保存至Microsoft账户、U盘或另存为文件,务必妥善保管恢复密钥,否则无法找回数据。
5、点击“下一步”,选择加密范围,建议选择“整个驱动器”以提高安全性。
6、选择加密模式,对于已使用的空间选择“新加密模式”,兼容性更好;如需最大安全级别则选择“XTS-AES 256位加密算法”。
7、确认设置后点击“开始加密”,根据硬盘大小等待数分钟至数小时完成。
对于企业环境或高级用户,可通过本地组策略编辑器统一管理BitLocker设置,实现更细粒度的控制,例如强制加密算法、限制用户跳过恢复密钥等。
1、按下Win + R键,输入gpedit.msc并回车,打开本地组策略编辑器。
2、依次展开“计算机配置” → “管理模板” → “Windows组件” → “BitLocker驱动器加密”。
3、进入对应驱动器类型(如“操作系统驱动器”或“固定数据驱动器”),双击“选择默认的BitLocker加密方法和强度”。
4、设为“已启用”,并在下拉菜单中选择AES-256作为默认加密算法。
5、找到“允许忽略数据恢复代理”,将其设为“已禁用”,以确保所有加密必须具备恢复机制。
6、返回上级目录,启用“需要附加的身份验证在启动时”,确保每次开机都需要身份验证。
7、配置完成后关闭策略编辑器,重启电脑使策略生效。
通过manage-bde命令可以在命令提示符或PowerShell中执行BitLocker操作,适用于批量处理或多任务自动化场景,提升操作效率。
1、以管理员身份运行命令提示符或PowerShell。
2、输入 manage-bde -status 查看当前所有驱动器的加密状态。
3、对指定驱动器启用加密,例如输入 manage-bde C: -on 启动C盘加密。
4、若要暂停保护以便进行系统维护,执行 manage-bde C: -protectors -disable。
5、恢复保护时输入 manage-bde C: -protectors -enable。
6、备份恢复密钥到Active Directory(适用于域环境),命令为 manage-bde C: -protectors -adbackup.
7、查看详细帮助信息,输入 manage-bde -? 获取完整命令列表。
服务热线
cker可加密硬盘防止数据泄露,需TPM支持;2. 右键分区启用BitLocker,设置密码与恢复密钥,选择整个驱动器加密;3. 通过组策略配置加密算法与启动验证;4. 命令行使用manage-bde管理加密状态与保护机制。