bitlocker可加密整个驱动器,efs用于文件夹级加密,虚拟磁盘方案实现跨版本兼容;三者均需ntfs格式,分别适用于专业版系统全盘加密、家庭版单文件夹加密及所有支持hyper-v版本的容器式加密。
如果您希望保护电脑磁盘或文件夹中的敏感数据,防止未经授权的访问,Windows 系统自带的 BitLocker 功能可对整个驱动器进行透明加密。以下是使用 BitLocker 加密磁盘的具体操作步骤:
一、启用 BitLocker 加密系统盘(C 盘)或非系统盘
BitLocker 是 Windows 专业版、企业版和教育版内置的全盘加密功能,需确保目标磁盘为 NTFS 格式且具备 TPM 芯片(或通过组策略绕过),加密后仅在正确解锁状态下才能读取数据。
1、右键单击“此电脑”,选择“管理” → 左侧导航栏点击“磁盘管理”,确认待加密分区状态为“基本”且未分配为动态卷。
2、在“此电脑”中右键点击目标驱动器(如 D 盘),选择“启用 BitLocker”;若选项灰色不可用,请检查系统版本是否支持 BitLocker。
3、勾选“使用密码解锁驱动器”,输入至少 8 位含大小写字母与数字的强密码,点击“下一步”。
4、选择“将恢复密钥保存到文件”,指定路径保存 BitLocker 恢复密钥.txt,该文件丢失将导致数据永久无法恢复。
5、勾选“运行 BitLocker 系统检查”,点击“启动加密”,选择“新加密模式”以兼容较新硬件特性,开始后台加密过程。
二、对无 BitLocker 权限的文件夹单独加密(使用 EFS)
当系统为家庭版不支持 BitLocker,或仅需加密特定文件夹而非整盘时,可启用 Windows 文件系统级加密 EFS(加密文件系统),该功能依赖用户证书且仅对 NTFS 分区有效。
1、右键点击目标文件夹,选择“属性” → “高级”按钮 → 勾选“加密内容以便保护数据”,点击“确定”。
2、在弹出提示中选择“仅将更改应用于该文件夹”,避免误加密子项中无需保护的临时文件。
3、打开命令提示符(管理员),执行 cipher /r:"EFS密钥" 生成 EFS 恢复证书并导出为 .pfx 文件,存储至离线安全位置。
4、进入“控制面板 → 用户账户 → 管理您的文件加密证书”,导入前述 .pfx 文件并设为默认加密证书。
三、创建加密虚拟磁盘(无需 BitLocker 版本依赖)
借助 Windows 内置的磁盘管理工具可创建加密虚拟硬盘(VHD/VHDX),再对其启用 BitLocker,实现跨版本兼容的容器式加密,适用于所有支持 Hyper-V 的 Windows 版本。
1、按 Win+X 选择“磁盘管理”,点击“操作”菜单 → “创建 VHD”,设置路径、大小(建议 ≥2GB)及格式为 VHDX。
2、右键新建的“未分配”空间 → “新建简单卷”,按向导完成格式化(NTFS)、分配盘符(如 Z 盘)。
3、在“此电脑”中右键 Z 盘 → “启用 BitLocker”,后续流程与第一部分相同,但加密对象为虚拟磁盘而非物理分区。
4、使用完毕后,在“磁盘管理”中右键该 VHD → “分离 VHD”,此时该加密容器即变为可移动的 .vhdx 文件,双击挂载后仍需 BitLocker 密码解锁。
