所有为Windows 10或Windows 11设计的个人电脑都支持强大的数据加密。在运行Windows 10或Windows 11的任何版本的设备上,你都可以使用一种称为设备加密的功能,该功能只在系统驱动器上起作用。运行Windows专业版、企业版或教育版的个人电脑都有一个功能更丰富的版本,名为BitLocker Drive Encryption;除了系统驱动器外,它还可以与辅助驱动器和可移动驱动器一起工作。
为什么加密很重要?一个窃取你的电脑的攻击者(甚至在你离开的时候获得未经授权的访问权限)可以使用各种各样的技巧来试图访问你的电脑上的数据。例如,他们可以使用USB闪存驱动器来启动备用操作系统并尝试读取驱动器;如果硬盘上的数据没有加密存储,他们就可以访问所有内容,包括保存的电子邮件、照片、纳税申报单等文件和下载的银行对账单。
随着系统驱动器加密,攻击者窃取你的设备,但没有你的登录凭据完全锁定你的数据。如果他们尝试使用替代操作系统启动,他们将被提示输入一个48位的恢复密钥以获得对系统驱动器的访问权。没有这个键,数据实际上是不可读的。
在Windows 11或Windows 10电脑上加密系统驱动器的要求相当简单。您的硬件必须包含可信平台模块(TPM)芯片,版本为1.2或更高;设备必须使用UEFI固件配置,而不是Legacy BIOS;和Secure Boot必须启用。
要使用BitLocker Drive Encryption管理工具,您必须运行Windows 10或Windows 11的商业版:专业版、企业版或教育版。(使用USB闪存驱动器来存储加密密钥,也可以在没有TPM的情况下启用BitLocker,但我不建议这么做。)
自2017年以来,几乎每台销售的PC都包含TPM。
要查看您的PC是否有TPM芯片(如果有,是哪个版本),请遵循以下步骤:
右键单击“开始”,然后单击快速菜单上的“设备管理器”墨水菜单。
在设备管理器中,查找标题“安全设备”。如果不存在,则说明您的系统没有配备TPM。
如果Security Devices标题存在,将其展开以显示Trusted Platform Module硬件,包括版本号,如下所示。
如果能够通过这些硬件测试,就可以对系统驱动器进行加密。
在只有一个主存储设备(也就是C盘)的个人电脑上,你用微软账户登录,打开设备加密的选项非常简单。进入“设置>隐私与安全>设备加密”,打开开关。就是这样。
如果您看到一条消息说设备加密已暂停,请确保您已弹出所有可移动媒体,包括挂载的ISO文件。然后重新启动计算机。
对于那些选择不使用微软账户登录而是使用本地账户的用户来说,设备加密选项是不可用的。只要你运行的是商业或教育版的Windows,你仍然可以使用BitLocker驱动器加密管理工具在系统驱动器上启用加密。
最简单的选择是使用BitLocker加密向导,它包含自己的兼容性检查器。
打开文件资源管理器,单击“这台PC”,右键单击系统驱动器(C:)图标,然后单击“打开BitLocker”。如果您的系统不符合规范,您将得到一条错误消息。如果一切都清楚,您可以按照向导的提示保存恢复密钥并开始加密过程。
在支持全套BitLocker管理工具的系统上,您还可以选择加密辅助驱动器。点击开始,在搜索框中输入BitLocker,然后点击管理BitLocker选项。在这里,您可以为任何可用的驱动器启用、禁用、挂起和恢复加密。
哦,不管你选择哪个选项,一定要备份你的恢复密钥!
