系统极客一直在努力
专注于操作系统及软件使用教程

如何使用U盘解锁采用BitLocker加密的Windows

系统极客之前曾介绍过 3 款 Windows 10 U盘登录小工具,这种方式依赖于第三方工具,安全程度其实也不是那么高。本文我们再来介绍一种安全(加密)程度更高,使用 U 盘解锁采用 BitLocker 加密 Windows 系统分区的方法。

想必大家都知道,启用 BitLocker 加密的 Windows,在每次系统开机时都会使用内置的 TPM 芯片对系统分区进行自动解密。但通过手动配置,用户还是可以将 U 盘制作成「启动密钥」的,只有在系统启动前插入正确 U 盘才能对磁盘解密并启动 Windows,这样一来我们便有效为 BitLocker 变相添加了一重硬件级别的双因素身份认证。

1. 启用BitLocker加密

要启用 BitLocker 加密,必需使用的是 Windows 专业版或企业版还需要你的设备支持 TPM 芯片,然后在「控制面板」中为 Windows 系统分区启用 BitLocker 加密即可。

1 打开「控制面板」—「系统和安全」—「BitLocker 驱动器加密」

2 至少为 Windows 所在系统分区启用加密

3 为保数据最大程度安全,建议为所有磁盘分区都启用 BitLocker 加密

usb-key-unlock-bitlocker-2

默认情况下,Windows 系统分区会在系统启动时自动使用 TPM 芯片中存储的解密密钥进行解决并启动系统。如果你的计算机没有 TPM 芯片,可以对非系统磁盘使用 U 盘存放加密密钥以取代 TPM 芯片的作用。如果你使用 Windows 专业版以下版本(如家庭版),则无法使用 BitLocker 功能,后面内容对你也无用,不用继续往下看了。

2. 在组策略中启用「启动密钥」

一旦磁盘加密完成,我们则需要执行最关键步骤,在组策略中启用「启动密钥」:

1 使用 Windows + R 快捷打开「运行」— 执行 gpedit.msc 打开组策略编辑器

2 导航到「计算机配置」—「管理模板」—「Windows 组件」—「BitLocker 驱动器加密」—「操作系统驱动器」,双击「启动时需要附加身份验证」

3 将该条策略设置为「已启用」,并将「配置 TPM 启动密钥」更改为「有 TPM 时需要启动密钥」后点击确定。

usb-key-unlock-bitlocker-3

3. 将U盘制成「启动密钥」

现在我们可以使用 manage-bde 命令将 U 盘配置为 BitLocker 加密驱动器的「启动密钥」盘。

1 将 U 盘插入电脑,查看 U 盘分配到的盘符。

usb-key-unlock-bitlocker-4

2 打开「命令提示符(管理员)」并执行如下命令:

manage-bde -protectors -add c: -TPMAndStartupKey h:

usb-key-unlock-bitlocker-5

上述命令中的 c: 代表 Windows 系统所处分区的盘符,最后的 h: 代表 U 盘的盘符,请大家根据自己实际情况更改命令后执行。

3 命令完成后,U 盘中会自动生成隐藏的 .bek 系统文件。

usb-key-unlock-bitlocker-6

4 配置完成后,当 Windows 下次启动时便会要求插入制作好的 U 盘用于解密 BitLocker 加密的系统分区。此后,才能正常启动操作系统。

usb-key-unlock-bitlocker-7

要查看 TPM「启动密钥」是否正确添加,可以使用如下命令:

manage-bde –status

usb-key-unlock-bitlocker-8

如何移除「启动密钥」

要移除 TPM「启动密钥」并恢复到 Windows 原有的自解密状态也非常简单,只需按前面步骤将相同组策略路径中的「配置 TPM 启动密钥」更改为「有 TPM 时允许启动密钥」后点击确定,再用 manage-bde -protectors -add c: -TPM 命令将密钥重新写回 TPM 芯片即可。更改完成后建议先重启下系统看是否有问题,如无意外,直接将 U 盘格式化就行了。

分享到:更多 ()
  1. 怎么知道计算机有没有tpm芯片呢,没有芯片的话会不会导致开不了机,还有,如果没带U盘可以使用其他方式开机吗

    • 设备管理器里面可以看到有没TPM芯片,没TPM应该不能加密系统盘。最后一个问题,没有U盘无法开机(所以,小心了。。。)。

  2. 如果你使用 Windows 专业版以下版本(如家庭版),则无法使用 BitLocker 功能,后面内容对你也无用,不用继续往下看了。家庭版用户根本用不着,准确说大部分普通人士都用不着。以前特地折腾过,最后发现没有TPM芯片,再之后发现了猴子的文章,算是弥补了当初留下的遗憾了