Windows不支持直接加密单个文件夹,需通过BitLocker对目标文件夹所在独立NTFS分区加密:先压缩现有卷创建新分区,迁移文件后启用BitLocker并设置强密码及恢复密钥备份。
如果您希望保护某个特定文件夹中的数据不被未授权访问,Windows系统本身不支持直接对单个文件夹进行加密,但可通过BitLocker驱动器加密功能实现间接保护。该方法要求将目标文件夹移至独立驱动器分区后,对该整个分区启用BitLocker加密,从而确保该文件夹在未解锁状态下无法被读取。
本文运行环境:Surface Laptop 5,Windows 11 专业版。
一、将目标文件夹迁移至新NTFS分区并加密
BitLocker仅支持对整个驱动器(卷)进行加密,不支持单独加密文件夹。因此需先创建一个专用NTFS格式的新分区,将目标文件夹完整移入,再对该分区启用BitLocker。此方式确保加密范围精准可控,且无需第三方工具。
1、右键“此电脑”选择“管理”,进入“磁盘管理”。
2、右键现有卷(如D盘),选择“压缩卷”,输入压缩空间量(须大于目标文件夹大小)。
3、在生成的“未分配”空间上右键,选择“新建简单卷”,按向导分配驱动器号(如E:),格式化为NTFS并勾选“快速格式化”。
4、将需加密的文件夹完整复制或剪切至E:盘,确认所有文件无损且可正常访问。
5、在“此电脑”中右键E:盘图标,选择“启用BitLocker”。
6、勾选“使用密码解锁驱动器”,输入至少8位含大小写字母、数字及符号的强密码,并再次确认。
7、选择恢复密钥保存方式:必须保存到Microsoft账户或另存为文件至非加密U盘,不可跳过。
8、选择加密范围:“加密整个驱动器”以覆盖历史残留数据;若为全新分区,可选“仅加密已用磁盘空间”。
9、选择加密模式:内部固定硬盘选“新加密模式”,U盘或移动设备选“兼容模式”。
10、勾选“运行BitLocker系统检查”,点击“开始加密”并保持电源连接直至完成。
二、通过控制面板统一启用BitLocker加密
该路径提供标准化操作界面,适用于所有支持BitLocker的Windows专业版及以上系统,尤其适合初次配置用户。它绕过硬件TPM依赖检测,直接启动图形化向导,确保流程完整性与可追溯性。
1、点击“开始”按钮,在搜索框中输入“控制面板”,打开控制面板窗口。
2、将右上角“查看方式”设为“小图标”,找到并点击“BitLocker驱动器加密”。
3、在驱动器列表中定位目标分区(如E:),确认状态为“已关闭”,点击其右侧“启用BitLocker”。
4、勾选“使用密码解锁驱动器”,设置并确认强密码。
5、必须完成恢复密钥备份:选择“保存到文件”,指定路径为非加密的F盘或外部U盘根目录,保存后务必验证文件可读。
6、选择加密范围与模式,与方法一第8、9步一致。
7、点击“开始加密”,后台执行过程中可正常使用系统。
三、使用PowerShell命令行批量加密驱动器
该方式适用于IT管理员或需自动化部署场景,支持脚本调用、参数精确控制及多驱动器并发操作。命令执行前自动校验驱动器格式与BitLocker状态,避免人工误判。
1、右键“开始”按钮,选择“Windows Terminal(管理员)”或“Windows PowerShell(管理员)”。
2、输入命令查看可用卷:Get-BitLockerVolume,确认目标驱动器(如E:)状态为“Off”。
3、执行全驱动器加密命令(以E:为例):Enable-BitLocker -MountPoint "E:" -EncryptionMethod Aes256 -UsedSpaceOnly -Password $(ConvertTo-SecureString "MyP@ssw0rd2026" -AsPlainText -Force) -PasswordProtector。
4、命令执行后,系统自动生成恢复密钥ID,需立即运行Backup-BitLockerKeyProtector -MountPoint "E:" -KeyProtectorId
5、输入Get-BitLockerVolume -MountPoint "E:"验证状态是否变为“ProtectionOn”且加密进度持续更新。
