同济高程

Appearance

BitLocker 加密功能科普与使用指南

TL;DR

Windows 出厂自带用于保护数据安全的 Bitlocker 功能。然而,如果对其缺乏了解,这个功能可能导致 全盘数据丢失 的严重后果。因此,应阅读本文,了解使用此功能的最佳实践,或 关闭 BitLokcer

注意

如果你的计算机并不是自己购买/配置,登录的不是自己的 Microsoft 账号(或者不知道是谁的),务必认真阅读本文并搞清楚情况!

BitLocker 简介

BitLocker 是 微软自 Windows Vista 起提供的全磁盘/分区加密功能,用于保护存储在硬盘上的数据免于泄露。Windows 10/11 中,BitLocker 默认启用

主要作用:

  • 防范物理窃取:设备丢失或被盗后,他人无法将硬盘拆下挂载到其他电脑上读取数据。
  • 防范离线攻击:加密整个卷(包括系统文件、休眠文件等),可抵御通过 PE 启动盘 等方式,绕过计算机登录密码进行的数据拷贝尝试。
  • 增强启动完整性:配合主板上的 TPM (可信平台模块) 芯片,可验证系统启动过程的完整性,防止启动文件被篡改。
家庭版 v.s. 企业版

Windows 家庭版中,BitLocker 功能以“设备加密”这一名称提供。它实际上就是对全盘的 BitLocker 加密(不能分驱动器管理)。二者在设置操作上有细微的差异,但本质相同。

BitLocker 的基本使用

  • Windows 10 及以上的 Windows 操作系统中,Bitlocker 通常默认启用。当用户正常使用 Microsoft 账号登录 Windows 后,系统会自动使用受保护的密钥在后台完成数据的解密与加密,用户通常无需操作。
  • 启动验证:现代品牌机通常都搭载了 TPM(可信平台模块),系统启动时会验证 BIOS、引导文件等是否被篡改。验证通过后,TPM才会释放密钥,允许系统启动;否则将进入恢复模式,要求输入恢复密钥。

使用 BitLocker 的主要风险

BitLocker的风险主要集中在密钥管理和操作失误上。

  • 恢复密钥丢失 = 数据永久丢失 BitLocker 的设计原则就是“没有密钥就无法解密”。如果忘记了密码,且丢失了备份的恢复密钥,数据基本无法通过常规手段恢复

  • 加密/解密过程意外中断 在加密或解密过程中,若遭遇断电、系统崩溃或强制关机,可能导致磁盘数据结构损坏,造成数据丢失或无法访问。

  • 系统或硬件变更触发恢复模式 更换主板、升级 BIOS/UEFI 固件、修改启动顺序、TPM 重置等操作,都可能使 BitLocker 判定系统环境不安全,从而进入恢复模式,要求输入恢复密钥。在某些条件下,恢复模式可能被误触发

  • 对性能的影响 部分配置下,加解密操作对硬盘的读写性能会有轻微的影响,但通常不会被用户感知。

恢复模式

当系统启动时,若检测到不安全因素,Bitlocker 会进入恢复模式,要求输入 48 位恢复密钥。这种情况下,由于 Bitlocker 采用XTS-AES-128加密,没有恢复密钥,破解的可能性几乎为 0。如果此时找不到恢复密钥,只能选择全盘格式化后重装系统,放弃所有数据。

此时需要设法找到保存的密钥。

  • Microsoft账户:在另一台设备上访问 此网站。 登录你的 Microsoft 账户可以在这里检阅你备份到 Microsoft 账户的所有恢复密钥。

  • 打印的纸质备份:如果你曾创建过纸质备份,你可以找到它并根据它输入恢复密钥。

  • U 盘备份:在曾用于备份恢复密钥的U盘中查找恢复密钥文件,若你没有自定义名称,默认名称应当为BitLocker Recovery Key {一串字符}.txt。

  • 本地/网络位置:如果你曾手动将密钥文件保存在其他硬盘或网络共享中,请前往对应位置查找。

TIP

恢复密钥 ID(恢复界面上提示的前 8 位字符)可以辅助在多个密钥中快速找到正确的那一个。

最佳实践

  • 了解 BitLocker 在做什么,认识到获取恢复密钥的重要性。
  • 通常而言,品牌机在初次启动时都会引导用户创建 Microsoft 账户,并自动备份恢复密钥。确定自己有正确登录 Microsoft 账户,并确保自己可以随时访问它(记得密码、有可靠的密码找回方式)。
  • 如果不想使用 Microsoft 账户或希望进一步确保安全性,则手动额外备份恢复密钥并妥善保管。

你可以通过以下步骤检查你当前是否在计算机上登录了 Microsoft 账户:

点击展开Windows10步骤
  1. 打开开始菜单,点击“设置”按钮

Win10开始

  1. 选择“账户”

Win10设置

  1. 如图,如果图中位置显示了电子邮件地址及“管理我的Microsoft账户”按钮,说明你已登录Microsoft账户。此处的电子邮件地址即为登录Microsoft账户的电子邮件地址。

账户

如果显示如下,说明你是本地账户登录。

本地

点击展开Windows11步骤
  1. 右键“开始”按钮,点击“设置”

Win11开始

  1. 选择“账户”,如图,如果图中位置显示了电子邮件地址及“管理我的Microsoft账户”按钮,说明你已登录Microsoft账户。此处的电子邮件地址即为登录Microsoft账户的电子邮件地址。

Win11设置

如果你是 Microsoft 账户,请用之前步骤中的电子邮件地址或用户名登录 此网站 检查你的Bitlocker恢复密钥是否已经上传。

另外,你也可以手动备份恢复密钥,将其打印为纸质版本、备份到U盘或保存到其他位置。

TIP

如果你不只有一个磁盘/分区,请对所有磁盘/分区都备份一遍,避免后悔。

展开手动备份步骤
  1. 打开“此电脑”,选中要备份的驱动器,右键,点击“管理 Bitlocker”

此电脑

  1. 点击“备份恢复密钥”(需要管理员权限)

BitLocker 管理

  1. 进行备份(建议多使用几种备份方式,避免后悔)
  • 点击“保存到 Microsoft 账户”以将其上传到 Microsoft 账户

保存到 Microsoft 账户

  • 点击“保存到文件”以将其保存为一个txt文件(Bitlocker 不允许保存到加密的磁盘/分区,因此你应当插入一个U盘,或保存到未被加密的磁盘/分区)

保存到文件

  • 点击“打印恢复密钥”以将其打印为纸质备份(需要打印机)

打印恢复密钥

关闭 BitLocker

如果你在上述任何步骤中遇到问题,或者认为相比起数据泄露的风险,BitLocker 导致数据丢失的风险更不可接受,那么你可以选择关闭Bitlocker(家庭版用户在“设置”中关闭“设备加密”即可)。

关闭 BitLocker