[技术]BitLocker自动加密莫惊慌

本帖最后由 PC游戏爱好者 于 2024-5-9 17:48 编辑

最近24H2将会自动启用BitLocker的消息搞得很多人人心惶惶。作为一个高强度使用BitLocker全盘加密的用户，给各位讲讲一些基础知识吧。

首先，要区分两个概念“密码”和“恢复密钥”。

根据密码学基本知识，对称加密（BitLocker采用的）的加密和解密需要同一个“加密密钥”。在启用BitLocker时，系统会随机生成一段高强度的“加密密钥”用于加密数据，然后会使用你设置的“密码”加密这段“加密密钥”后保存下来（这里只讨论设置密码的情况，不讨论使用智能卡）。 同时“加密密钥”会被以特定的方式编码，生成“恢复密钥”，提示用户备份并妥善保管。——这就是常规启用BitLocker的情况。

所以：“密码”是每次解锁BitLocker分区时输入的那个密码，而“恢复密钥”是出现特殊情况下（例如忘记密码、操作系统非正常启动）时偶尔需要翻出来输入的一长串密码。

很多朋友对启用BitLocker感到慌张的一个常见的原因：“我没有设置什么密码啊，为什么BitLocker就自动启用了？”

言外之意就是：“万一BitLocker找我要密码，我该输入啥？”

其实这里就是我们这里要讲的一个特殊情况：BitLocker自动加密和自动解锁

目前看来，这种情况只有在符合标准的TPM启用的情况下出现。

“你”没有设置什么密码——确实是这样，因为这次“密码”是随机生成的了，系统盘的“密码”储存在TPM芯片中，而非系统盘的“密码”储存在系统盘上。开机时，引导会（在完成启动环境完整性检查后）自动向TPM索取系统盘的“密码”，自动解锁系统盘，完成操作系统加载，然后读取存在系统盘的非系统盘“密码”，并自动解锁非系统盘。这就是“你”不用设置“密码”，也不需要输入“密码”的原因。

因此，对于BitLocker自动加密和自动解锁，“你”不需要知道“密码”，也不能知道“密码”（至少正常的手段不行）。即使知道了输入一长串随机字符组成的“密码”也会让“你”非常恼火。

“你”真正需要做的是备份“恢复密钥”。（如果完全确定你的硬盘没有被窃取的风险，也可以关闭BitLocker，但仍然建议先进行备份“恢复密钥”的操作）

备份“恢复密钥”其实也很简单，

如果是自动加密，你能正常进入系统，那么你的磁盘应该已经全部自动解锁了。如果不是自动加密的，你应该自己设置过“密码”，你需要双击那个磁盘分区，并且输入正确的“密码”解锁。

此时，在Win10、Win11的搜索框中搜索“BitLocker”，或在 控制面板-系统和安全 中打开“BitLocker管理”。在这里可以看到每一个分区和对应的BitLocker状态，找到每一个开启了BitLocker的分区，点击“备份恢复密钥”，就会弹出备份向导，按提示操作即可。建议备份到一个安全可靠的U盘中，或者使用直连本机的打印机（不建议使用网络打印机）打印出来。

评分

2

查看全部评分

sistina

OA01