Windows如何全盘加密 手把手教你Windows全盘加密方法

你还可以打开BitLocker驱动器加密管理（在Cortana搜索框可以轻易调出），在里面开启非系统盘自动解锁。但是，开启这个功能的前提是系统盘必须要开启BitLocker加密。

由于加密过程十分漫长，系统支持在加密的过程中暂停加密，等时间允许之后再来完全加密。

Legacy启动方式使用BitLocker全盘加密的一个基本要求是，启动文件必须放在一个单独的分区里，也就是系统保留分区，这样才可以BitLocker全盘加密。如果是使用原版安装镜像安装的Windows且确实保留了系统保留分区，那么一般是符合这个条件的。

不知道的话，可以打开磁盘管理（diskmgmt.msc）检查是否有系统保留分区。

以后每次开机，都会见到这个BitLocker加密输入密码的提示。

一些PE可以支持对BitLocker分区的访问，例如Windows原版安装镜像附带的WinPE，以及光卡所制作的Hikari PE，这么一来就可以在需要重装系统的时候转移你需要转移的数据。

以使用Windows原版安装镜像附带的WinPE为例，从安装镜像启动，进入系统安装界面之后，按下Shift+F10来调出命令提示符。如果我们要解密C盘，输入这个命令：

manage-bde -unlock C: -pw

执行之后，输入解密密码，然后就可以访问加密分区了。

如果是要使用恢复密钥解密，那么命令就是：

manage-bde -unlock C: -recoverypassword XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

上述命令中的“XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX”就是恢复密钥。

进行加密会使硬盘的写入速度降低一些，不过为了更稳妥的安全性，即便损失一点写入速度也是比较值得的。

如果你想解除BitLocker加密，你可以在BitLocker管理界面关闭BitLocker。建议先关闭数据盘的BitLocker后关闭系统盘的BitLocker。

如果你使用的是Windows XP、Windows Vista、Windows 7或使用Legacy启动方式的Windows 8及以上版本，那么你还可以使用第三方加密工具，例如VeraCrypt。

TrueCrypt 7.1a也可以使用，两者的使用方法大同小异。

VeraCrypt可在这里下载：https://www.veracrypt.fr/en/Downloads.html

TrueCrypt可在这里下载：https://truecrypt.ch/downloads/

首次启动，如果需要改成中文，你可以在Settings–Language里改成简体中文。

点“系统”里的加密系统分区/驱动器。

然后下一步，你可以根据你的实际情况选择是加密系统盘还是全部分区。一般情况下，建议选择“加密整个硬盘驱动器”。

加密主机保护区域，如果你的硬盘确实弄的很复杂，比如组了RAID，那么请选择否。如果只有一块硬盘，那么选择“是”。

是否加密多个系统，这里请根据实际情况选择，一般情况下选择“单系统”。

加密算法，一般情况下保持默认即可，无需改动。

这个步骤设置一个足够长的密码，如果少于20个字符，下一步之前它会警告。这里为了演示，使用了一个16字符的密码。

到了这个阶段，就是产生加密所需随机数值的过程。你需要将鼠标在这个窗口内随意移动，最好是移动到进度条填满为止。

然后就可以下一步，你可以看到你的首密钥和主密钥。这个你可以勾上下面的选项来记下来，也可以不用记下来。

接下来就是制作应急盘的过程。将应急盘镜像做出来之后，单独复制出来一份保存。

接下来到了擦除空闲空间的步骤。

如果是一块从未接触过机密数据的硬盘，可以不用擦除，直接进行下一步。

如果接触过机密数据，一般选择7次擦除。不放心的话可以使用Gutmann的35次擦除。

需要注意的是，固态硬盘不能使用此方法擦除数据，应改为使用厂商提供的安全擦除法。

接下来就是启动预测试，点测试，看清楚使用说明之后，重启电脑。

重启之后，你应当会进入这样的界面。

输入密码并回车，在系统询问PIM值的时候，直接按回车键即可。

验证过程需要等待一会儿，然后就进入系统了。

进入系统之后，系统会提示加密完成，只需要点Encrypt正式开始加密即可。

加密完成需要花一些时间，你可以随时点旁边的Pause暂停加密。

你还可以在VeraCrypt主界面里进入“设置”，“系统加密”，在这里所说的勾选隐藏系统加密的提示和PIM值要求。如果愿意的话还可以显示自定义信息。

在这个例子中，我们将启动时的提示改成IPC Corporation Loader，这样开机的时候就会卡在这个提示下。

你在这个提示下照常输入密码然后按下回车键，等大概40秒（以这个情况为例）即可进入系统。如果觉得比较慢，可以解密之后改用TrueCrypt加密。

下面来说一下如何使用急救盘以及解除VeraCrypt/TrueCrypt加密。

在TrueCrypt启动程序损坏的时候，从急救盘启动，然后就像之前验证那样把密码输入一遍。

而解密的话，只需要进入系统之后，点“永久解密系统分区/驱动器”即可。

无论是哪种加密途径，要说明的几个注意事项：

1、一定要设置一个开机密码，不用电脑的时候将电脑锁定；

2、如果电脑有1394接口，一定要禁用掉，并在组策略禁止1394设备的安装防止有心人士加装1394扩展卡。因为IEEE1394可以直接访问内存，只要在系统登录界面下，拿出另一台电脑，用火线将两台电脑连接起来，通过某些工具直接将整个内存做一个镜像，然后从内存读取解密密码，剩下的就不用多说了。这个操作就是所谓的“火线攻击”（Firewire Attack）。禁用1394接口带来的影响，就是使用1394接口的外设全部无法使用。不过我想现在应该没几个人还在用1394接口传输数据了吧；

3、不要将密码存在不安全的地方，例如写在一张纸条放在电脑旁边，这跟没加密没区别了。加密的意义就是要防止有心人士获取不想被其他人获取的数据。

4、无论是哪种加密方式，都会对硬盘的性能带来一定影响。如果这个电脑不拿来进行机密文件的处理，就是拿来日常娱乐，那么全盘加密是毫无必要的。

对于Windows平台，这里我介绍两种全盘加密方法

全盘加密的意义有以下两个

最新评论