Windows 11启用BitLocker需系统为专业版/企业版/教育版且支持TPM 2.0,可通过控制面板、文件资源管理器右键、PowerShell、VeraCrypt或组策略五种方式实现加密。
如果您希望在Windows 11中对硬盘驱动器启用BitLocker加密以保护存储数据,需确认系统版本为专业版、企业版或教育版,并确保设备具备TPM 2.0芯片或已启用兼容配置。以下是三种独立且可操作的启用方法:
一、通过控制面板启用BitLocker
该方式路径稳定、兼容性强,适用于所有支持BitLocker的Windows 11专业版、企业版及教育版,直接调用系统级加密管理界面,无需额外工具或权限提升即可完成基础配置。
1、按下Win + S组合键打开搜索框,输入“控制面板”并点击打开。
2、在控制面板右上角将“查看方式”设为大图标,然后点击“BitLocker驱动器加密”。
3、在驱动器列表中找到目标盘符(如D:或E:),确认其状态为“已关闭”,点击其下方的“启用BitLocker”按钮。
4、勾选“使用密码解锁驱动器”,输入并二次确认至少8位含大小写字母、数字及符号的强密码。
5、选择恢复密钥保存位置:必须至少选择一项——“保存到Microsoft账户”、“保存到文件”或“打印出来”;切勿仅保存在被加密驱动器内。
6、选择加密范围:“仅加密已用磁盘空间”(适用于新驱动器,速度快)或“加密整个驱动器”(覆盖已删除残留数据,安全性更高)。
7、选择加密模式:“新加密模式”(推荐用于本地固定驱动器)或“兼容模式”(适用于需接入旧版Windows系统的移动设备)。
8、点击“开始加密”,系统将在后台执行,进度可在BitLocker管理界面实时查看。
二、通过文件资源管理器右键菜单启用
此方式跳过传统设置路径,直接从用户最常使用的文件资源管理器触发加密流程,响应更快、操作更直观,适合快速部署单个非系统驱动器加密。
1、按Win + E打开文件资源管理器,在左侧导航栏点击“此电脑”。
2、在“设备和驱动器”区域,右键点击目标驱动器(如F:),若未显示“启用BitLocker”,请先选择“显示更多选项”。
3、在完整上下文菜单中,选择“启用BitLocker”。
4、选择“使用密码解锁驱动器”,设定密码并确认;密码须满足强密码策略,避免使用常见词汇或连续数字。
5、选择恢复密钥保存方式:推荐勾选“保存到Microsoft账户”并完成登录验证,确保密钥可跨设备找回。
6、指定加密范围与模式后,点击“开始加密”,驱动器图标将出现蓝色锁形标识表示启用中。
三、通过PowerShell命令行启用
该方式面向高级用户及IT管理员,支持参数精确控制与脚本化批量操作,不依赖图形界面交互,适用于自动化部署或需绕过GUI限制的场景,要求以管理员权限运行终端。
1、按Win + X键,选择“Windows Terminal(管理员)”或“Windows PowerShell(管理员)”。
2、执行命令:manage-bde -status,检查目标驱动器是否就绪及TPM状态是否正常。
3、输入加密指令:manage-bde -on D: -UsedSpaceOnly -Password(将D:替换为实际盘符)。
4、按提示输入并确认密码;若需全盘加密,将-UsedSpaceOnly替换为-FullEncryption。
5、命令执行完成后,可通过manage-bde -status D:验证加密状态是否为“正在加密”或“已加密”。
四、使用VeraCrypt创建加密容器
VeraCrypt是开源跨平台加密软件,无需TPM支持,适用于Windows 11家庭版用户或需要灵活挂载/卸载加密卷的场景,可为任意分区或虚拟磁盘提供AES-256等高强度算法加密。
1、访问官网veracrypt.fr下载安装包,以管理员权限运行安装程序。
2、启动VeraCrypt后点击“创建卷”,选择“加密非系统分区/驱动器”。
3、点击“选择设备”,从列表中指定目标硬盘分区(如E:),确认后进入加密向导。
4、选择加密算法为AES,哈希算法为SHA-256,点击“下一步”。
5、设置密码时须满足至少20字符长度且避免常见词汇,建议启用“密钥文件”增强防护。
6、格式化选项中勾选快速格式化,点击“格式化”启动加密过程。
7、完成后返回主界面,选中该卷,点击“加载”并输入密码,即可作为普通盘符访问加密内容。
五、通过组策略启用BitLocker(仅限专业版及以上)
该方法适用于组织环境中的批量部署或强制执行加密策略,可绕过图形界面直接配置默认加密行为、恢复密钥存储位置及自动加密触发条件,需本地组策略编辑器支持。
1、按Win + R输入gpedit.msc,打开本地组策略编辑器。
2、导航至“计算机配置→管理模板→Windows组件→BitLocker驱动器加密→操作系统驱动器”。
3、双击“启用BitLocker驱动器加密”,设置为“已启用”,并配置“配置加密方法”为AES-256。
4、在“选择恢复密钥存储位置”策略中,勾选“将恢复密钥保存到Active Directory域服务”或“保存到Microsoft账户”。
5、启用“配置允许使用密码进行加密”策略,并设定最小密码长度为8,强制包含大小写字母、数字及符号。
6、配置“配置加密驱动器时跳过运行BitLocker系统检查”为“已禁用”,确保硬件兼容性验证被执行。
7、关闭组策略编辑器后,执行gpupdate /force刷新策略,重启后生效。
