需使用windows专业版/企业版/教育版并启用tpm 1.2+芯片,通过控制面板、管理bitlocker、组策略或powershell任一方式启用加密,设置强密码、备份48位恢复密钥、选择“加密整个驱动器”和“新加密模式”,并勾选系统检查。
如果您希望对Windows系统盘(通常是C盘)启用BitLocker驱动器加密,以防止设备丢失或被盗后数据被非法读取,则需确保系统版本、TPM状态及权限均满足要求。以下是具体操作步骤:
一、确认系统支持与硬件准备
BitLocker系统盘加密依赖Windows专业版/企业版/教育版,并要求主板启用TPM 1.2或更高版本芯片。未满足任一条件将无法启动加密流程。
1、按下Win + R键,输入winver并回车,确认系统版本为专业版、企业版或教育版。
2、右键“此电脑”→“管理”→“设备管理器”,展开“安全设备”,查看是否存在可信平台模块(TPM);若无,需进入BIOS/UEFI开启TPM并保存退出。
3、按Win + R输入tpm.msc,检查TPM状态是否为“已就绪”且“可用”。若显示“清除的TPM”,需右键选择“准备TPM”并完成初始化。
二、通过控制面板启用系统盘BitLocker
该方式路径明确、兼容性高,适用于所有支持BitLocker的Windows 10/11专业及以上版本,是系统盘加密最稳妥的入口。
1、点击“开始”按钮,搜索并打开控制面板。
2、将查看方式设为“大图标”,点击BitLocker驱动器加密。
3、在列表中找到操作系统驱动器(C:),确认其状态为“已关闭”,点击右侧启用BitLocker。
4、系统自动检测TPM后,勾选使用密码解锁驱动器,输入并确认至少8位含大小写字母、数字及符号的强密码。
5、必须选择一种恢复密钥备份方式:推荐保存到Microsoft账户(登录同一账户即可查看),同时可另存为文件至U盘(勿存于C盘)。
6、选择加密范围:加密整个驱动器(覆盖所有扇区,防止旧数据残留泄露)。
7、选择加密模式:新加密模式(适用于SSD及现代固态硬盘,启用XTS-AES算法)。
8、勾选运行BitLocker系统检查,点击开始加密;首次重启后将自动进入预启动解密界面。
三、通过“管理BitLocker”快捷入口启用
跳过控制面板层级,直接调用BitLocker管理模块,响应更快,适合熟悉系统工具定位的用户。
1、在任务栏搜索框中输入管理 BitLocker,点击顶部匹配项打开。
功能介绍: 一.系统管理:管理员管理,可以新增管理员及修改管理员密码;数据库备份,为保证您的数据安全本系统采用了数据库备份功能;上传文件管理,管理你增加产品时上传的图片及其他文件 二.企业信息:可设置修改企业的各类信息及介绍 三.产品管理:产品类别新增修改管理,产品添加修改以及产品的审核 四.下载中心:可分类增加各种文件,如驱动和技术文档等文件的下载 五.订单管理:查看订单的详细信息
2、在管理界面中,找到操作系统驱动器条目,确认状态为“已关闭”,点击其右侧启用BitLocker链接。
3、后续流程与第二方法一致:设置密码、备份48位恢复密钥、选择“加密整个驱动器”和“新加密模式”。
4、关键提示:必须勾选“运行BitLocker系统检查”,否则系统可能拒绝在重启后加载BitLocker引导环境。
四、通过组策略启用(适用于IT管理员或批量部署)
当需强制启用系统盘加密策略或绕过部分交互式向导限制时,可通过本地组策略编辑器配置底层参数。
1、按Win + R输入gpedit.msc并回车,以管理员身份打开本地组策略编辑器。
2、依次展开:计算机配置 → 管理模板 → Windows组件 → BitLocker驱动器加密 → 操作系统驱动器。
3、双击启用“配置操作系统驱动器加密”策略,设为“已启用”,并勾选“仅加密已用空间”或“加密整个驱动器”选项。
4、双击启用“配置启用BitLocker之前需要先启用TPM”,设为“已启用”以强制校验TPM状态。
5、双击启用“选择加密模式”,设为“已启用”,并指定“XTS-AES算法”及“新加密模式”。
6、执行gpupdate /force刷新策略,随后返回控制面板或管理BitLocker界面触发启用流程。
五、通过PowerShell命令行启用(高级用户适用)
适用于脚本化部署、远程管理或需精确控制加密参数的场景,所有操作需以管理员身份运行PowerShell。
1、以管理员身份打开PowerShell,执行:Get-BitLockerVolume -MountPoint "C:",确认C盘当前未加密且状态为“Off”。
2、执行初始化命令:Initialize-Tpm(如TPM未就绪,需先运行此命令)。
3、启用加密并指定参数:Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -SkipHardwareTest -UsedSpaceOnly:$false -RecoveryPasswordProtector。
4、立即备份恢复密钥:Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[0].KeyProtectorId -Directory "D:\RecoveryKeys"。
5、验证状态:Get-BitLockerVolume -MountPoint "C:" | Select-Object MountPoint, VolumeStatus, EncryptionPercentage,确认VolumeStatus为“EncryptionInProgress”或“FullyEncrypted”。
