Bitlocker 是微软推出的驱动器加密工具,和 Mac 平台下的 FileVault 定位基本相同,都是直接加密整个驱动器,在驱动器中只储存高强度加密后的数据,在加载使用时再实时进行解密,从而保证数据储存的安全性,即保证遭遇未授权的外部访问时无法被读出。苹果的移动设备在 iOS8 以后也是默认启用了全盘加密。

一般来说,这个加密用的密钥是交给硬件上的 TPM 即可信任平台模块来管理的,一般用户无需操心,只要开启 Bitlocker 进行全盘加密即可,日常使用几乎是无感知的(加解密过程有硬件加速所以对电脑性能影响非常有限)。

而受限于某些法律法规和某些厂商的偷工减料,大部分国产的 Windows 平台电脑是不具备 TPM 模块的,默认无法开启系统所在驱动器的 Bitlocker 。

通过组策略可以在没有 TPM 的情况下在系统驱动器使用 Bitlocker 。具体教程有很多这里不多说。但是这种情况下,开机时必须自己输入加密密码,或者插入生成的 USB 启动密钥(在启用 Bitlocker 时只能二选一)。

我也按照这个方式将 Windows 设备开启了 Bitlocker ,选择密码方式,但是每次进入 Windows 引导之前都会被要求输入加密密码,而我的密码又是相当长的一个高强度密码,十分不便,自动更新等设备重启后若无人值守也无法直接进入桌面。

通过查询资料了解到使用 USB 启动密钥,如果电脑开启时插着 USB 密钥,是可以跳过手动输入密码这个环节的,但是我已选择了密码模式,怎么办呢。

尽管中文互联网上很少有见提到,但是微软的英文文档支持还算不错,通过查询找到了以下办法。

使用 Manage-bde 命令生成 USB 启动密钥

Manage-bde命令是一个用于管理 Bitlocker 的命令行工具,功能十分丰富,微软的文档支持在此

这里使用的是-protectors这个模块,用于生成一个 USB 启动密钥(StartupKey)。

首先插入一个准备好的 U 盘。

在管理员模式的命令行下执行
manage-bde -protectors -add C: -StartupKey X:
其中X是 U 盘的盘符。

命令执行完毕后会在 U 盘根目录中生成一个系统属性的 BEK文件,平时将这个 U 盘插在电脑上,就可以实现开机跳过手动输入密码的步骤了。