BitLocker 知 乎

是否必要，不是其他人能帮你做决定的，而是根据你自己的实际需要来决定的。

bitlocker可以通过加载存储在tpm芯片中的密钥，对硬盘进行加密。

加密后的硬盘无法在其他电脑上识别。并且本机上的非授权用户无法访问被加密的磁盘或分区。

一般来说，硬盘加密主要是防止电脑丢失或硬盘丢失后，带来的电脑资料外泄风险。

但bitlocker并不是万能的，有一些业务场景无法满足。

bitlocker是OS层之上的加密，我们揽阁信息还可以提供在硬盘引导层的硬盘加密。相比bitlocker，非授权用户无法使操作系统进行加载。

除此之外，一旦授权用户将访问磁盘，像勒索软件这类的病毒就可以访问磁盘，并对文件进行攻击，对于企业来说，也存在内部人员将机密文件外泄的风险。我们还可以提供透明加密产品、数据防泄漏产品、终端准入和访问控制产品，以及定制化的解决方案，可以全面覆盖硬盘或文件保护需求。

如果你盘里的文件重要的话肯定是需要加密的，但是不建议全盘加密，可以使用加密软件对重要文件选择性加密。现在市面上的加密软件技术都基本成熟，很多企业个人都有在用。安装加密软件后文件在新建、打开时就会自动加密，在内部环境文件是可以正常打开的，脱离这个环境则打不开或乱码，可以禁止截屏、拷贝、复制、打印、修改等。文件外发需授权解密，未授权解密无论以任何形式发出都是无法正常打开的，还可设置文件外发的浏览次数和打开时间。在不影响日常使用的情况下保障文件安全。

1. 有一定影响

2.使用之前的密码就可以

3.没解锁可以格式化

4.有恢复密钥就可以解锁, 或者密钥绑定了ms账号也可以通过账号解锁

5.manage-dbe -lock <盘符>

或者用这个

(可选)装完把下面这段保存为.reg文件并运行, 菜单名称改成了中文粗体

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Drive\shell\lock-bde]
@=hex(2):01,95,9a,5b,71,9a,a8,52,68,56,00,00
"AppliesTo"="(System.Volume.BitLockerProtection:=1 OR System.Volume.BitLockerProtection:=3 OR System.Volume.BitLockerProtection:=5) AND NOT C:"
"HasLUAShield"=""
"MultiSelectModel"="Single"

[HKEY_CLASSES_ROOT\Drive\shell\lock-bde\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,73,00,\
  63,00,72,00,69,00,70,00,74,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,50,\
  00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,6c,00,65,00,73,00,25,00,\
  5c,00,62,00,64,00,65,00,6c,00,6f,00,63,00,6b,00,5c,00,62,00,64,00,65,00,6c,\
  00,6f,00,63,00,6b,00,2e,00,76,00,62,00,73,00,22,00,20,00,25,00,31,00,00,00

答主只是外行，建议大家去看专业人士的科普：

Bitlocker、TPM和系统安全

============================================================================

BitLocker为啥能加密系统盘，其实和UEFI、TPM没有必然关系……用组策略启用额外的验证（开机时需要输入解锁密码）即可在没有TPM的机器上开启BitLocker，无论走UEFI引导还是BIOS引导都是这样。

回到一开始的问题：为啥可以加密Windows所在的分区？

因为Windows Boot Manager可以在Windows启动前“独立”解密BitLocker分区。

Windows Boot Manager先把内核和各种驱动（包括BitLocker、磁盘有关的驱动）解密出来，然后就把控制权转交给Windows。借助BitLocker驱动（fvevol.sys），Windows也可以自由读写被加密的分区了，然后可以继续照常启动，不再需要Windows Boot Manager提供拐棍。

PS:解密密钥的来源取决于你的配置，可以是：TPM、数字密码即“恢复密钥”、存有密钥文件的U盘。实际上这些东西并不是真正的密钥，都不能直接解密数据。它们是用来解密FVEK的(实际上还不止一层加密)，FVEK才是真正执行数据加密的密钥，它被上面这些东西加密保存在硬盘上——可想而知，如果有关的扇区损坏了，那整个盘的数据就被判了死刑——当然，微软的东西还是靠谱的，有做冗余，并没有那么脆弱。

TPM可以让BitLocker变得更安全便捷。

有了TPM，就可以不用输入解锁密码了，密钥由TPM负责保管，并由TPM来保证不会有人用WinPE偷窥硬盘里的文件，WinPE、KonBoot这些手段在TPM面前都会露馅：如果TPM发现启动方式不对，就不会释放密钥。

没有密钥就无法解锁BitLocker加密的C盘，正常情况下Windows就会报错，无法正常启动；WinPE的话，虽然能正常启动，但缺少TPM里的密钥，C盘无法解密，仍然是一堆乱码。

既然Ubuntu LiveCD、WinPE、拆机换硬盘等等威胁已经被TPM干掉了，只要Windows登录密码靠谱，那差不多就固若金汤了。

（开脑洞的话，这里还有一个隐含的信任关系：Windows Boot Manager、Winlogon这些程序不能爆安全漏洞，比如CVE-2015-2552，还有类似Linux 爆新漏洞，长按回车 70 秒可获得 root 权限这种，如果爆了安全漏洞，那不需要Windows登录密码也可以直接访问被加密的数据了）

但这样并不是完全没有弱点：

冷冻内存等Cold boot attack仍然可能奏效。内存被液氮冷却后，即使断电也可以让数据保留一段时间。而且系统正常运行时，随时需要读写被加密的盘，那内存里肯定能找到密钥，因为读写时肯定需要执行加密/解密。所以，可以趁电脑没关机时冷冻内存，然后把内存接到别的电脑上，再运行一个程序把密钥搜出来。

冷冻内存攻击能奏效的前提是：硬盘数据加密仍然是操作系统在CPU上完成的，所以在那根插在主板上的内存条里，还是可以直接找到密钥。

如果把加密交给硬盘的主控芯片等硬件来做，让硬盘主控去抵抗冷冻内存攻击，那么内存条里就再也不需要保留密钥，那……也许就真的固若金汤了？好像还没有。

如果系统中木马了，那木马自然也有机会访问那些被加密的数据，拿到整个盘的解密密钥也不是难事儿（这甚至有点多余了，因为种了木马以后，无论攻击者想偷什么文件，都已经可以直接拿到了）。

如果硬盘没有AES加密之类高端功能，有一个缓解方法是让TPM在开机时，多验证一个PIN。必须输对PIN才给密钥，甚至在多次错误后毁掉密钥。

这样一来，如果电脑被偷时，就已经关机了，那么就没法等到Windows傻乎乎地问登录密码时，再偷偷冷冻内存干猥琐的事情了。但如果偷到的电脑还没关机，那说不定有可乘之机。

所以你想到了什么？

没错……你不能把引导文件也放在BitLocker加密的分区里……就是这样。

本文为中文互联网最全解析BitLocker的文章

20年成文，22年年底重新更新了一些内容，也做过视频版）

本文可以解答

1. bitlocker是啥
2. bitlocker蓝屏如何找密钥解锁

网上搜来搜去，大抵也是本文范围内的知识

2002.09.13更新

目前已知两种解决找不到密钥的情况

1. 如果使用过公司/教育的outlook，可以尝试用这些邮箱登进网站后台找密钥（）
2. 如果是售后换主板后蓝屏了，可以尝试联系售后用旧主板点亮系统，进去后关掉设备加密即可（遇到两位朋友这样解决了，在评论区有）

实在找不到密钥，数据我不要了，电脑能用就行，怎么办？

• 重装系统即可（硬盘并没有损坏，只是数据加密了，别被奸商骗去换硬盘）
• 重装系统有多种方法，需要另一台笔记本和一个U盘（微软U盘重装或者wepe重装）

2022.03.27更新

在这篇专栏成文一年多以来，600+小伙伴参考这个找回了自己的密钥，成功开机

还有超过200+找不回来（没有微软账号/忘了密码/没有上传过），请看到这篇内容的小伙伴务必做两件事

1. 看自己有没有开bitlocker（搜索设备加密）
2. 看自己有没有备份bitlocker（微软账户里能看到，确认和本机的是否一致）
3. 别管以上这么多，直接关闭设备加密就行，咱数据对别人又没啥用，搞丢了自己心烦

求求大家，增强对自己的电脑掌控力，这个丢了太惨了

• 没有bitlocker就不用管了，记得做文件备份
• 最惨的是一位研究生小姐姐，毕业论文锁住，全丢了，数据和资料全部要重新找（惨）

以下是原文

电脑出现如下图所示的蓝屏，想知道如何解锁电脑的小伙伴，可以看这篇内容

成功解锁的朋友，如果也在使用知乎，请不要吝啬你的点赞/收藏，这可以帮助到更多的朋友

发文一年半以来，已经帮助几百位朋友找到密钥，解决问题
也有很多朋友由于没有备份密钥最后没有成功恢复数据
但是吃一堑长一智，希望可以避免以后再遇到这样的情况

P.S. 作者并不是专业的运维IT人员，如有谬误，欢迎大家指正~（学习使我快乐！）

本文已经被百度抓取，发文一年，阅读量约60K，百度搜索Bitlocker应该会直接出来这篇内容，希望能给更多人带来帮助~

解决办法

前提【电脑使用微软账户登录】

1. 在其他设备上登录【微软账号】，地址——【登录你的微软账号】
2. 找到【自己的设备】，查看【Bitlocker】密钥

进去往下滑，找到【管理恢复密钥】，里面有密钥——会有很多组，找和电脑蓝屏里，前面数字一致的那组

• 进去找到ID和自己蓝屏画面上【恢复密钥ID】前8位一样的那串密钥

输入【密钥ID】匹配的【48位数字密钥】，即可进系统

以上是需要解决这个【蓝屏输入密钥】问题的朋友所需要的全部内容

下面是【详细说明和科普】，又臭又长，可以不用看的~

科普，向大家简要介绍一下Windows10电脑里的【Bitlocker】

说不定哪天就用到了，点赞收藏走起哇！
这是知乎社区里，为数不多的Bitlocker介绍

背景——

• 这是2018年后大部分新电脑都有的功能
• 有朋友问我这个是做什么用的，有什么影响
• 最近电脑拿去修，售后工程师微信询问我的Bitlocker密钥，我想起来，机器硬件更改后，需要BitLocker密钥才能重新进系统
• 于是写一篇这个内容
• （才不是因为电脑坏了，四天没写回答，知乎不涨粉了，吓得我赶紧写东西）

更新时间2020.06.07

简略版本：

Bitlocker是一个数据加密软件，可以在硬件层面加密自己数据，保护自己的数据安全，密钥是48位数字

• 在遇到电脑硬件变更的时候，开机需要输入【48位密钥】才能进系统
• 没有密钥进不了系统，如果需要使用该设备，只能重装系统/使用其他硬盘
• 密钥会自动上传到微软账户，也可以自己保存（获取秘钥比破解秘钥更实在）
• Bitlocker是实时加密的，但是不会占用太多系统资源
• 锁定机器，如果没有密钥，无解

✨应用场景——电脑硬件变动，BitLocker恢复，需要输入密钥

2021.06.28更新——时隔一年，发现很多地方其实是写错了，于是准备重写
win11更新强调了对TPM2.0的需求，其实就是能不能启用BitLocker
分享一下@Daniel Simpson 大佬写的BitLocker技术文档，帮助我系统学习了Bitlocker的使用

原正文：

目录

1. 什么是BitLocker？
2. BitLocker有什么用？
3. BitLocker怎么使用？
4. 补充阅读

百度百科[1]
BitLocker驱动器加密，是一种全卷加密技术，是在Windows Vista（一个早期的Windows系统，在XP和win7中间）中新增的一种数据保护功能，主要用于解决一个人们越来越关心的问题：由计算机设备的物理丢失导致的数据失窃或恶意泄漏。
受信任的平台模块(TPM)，是一个内置在计算机中的微芯片。它用于存储加密信息，如加密密钥。
Bitlocker可以加密整个卷，保护所有数据，包括操作系统本身、Windows注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由TPM锁定，因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。
在不带有兼容TPM的计算机上，BitLocker可以提供加密，而不提供使用TPM锁定密钥的其他安全。

• 简要解释——

1. Bitlocker是一个软件，可以配合【TPM芯片】，从物理层面保护用户数据
2. 使用Bitlocker，即使有陌生人拿到了你的设备（电脑），也无法直接读取里面的数据，把硬盘拆出来也不行
3. Bitlocker在机器硬件更改的情况下也会锁定电脑
4. Bitlocker的密钥会传到微软，通过微软账户可以找到当前设备的BitLocker密钥
5. 没有密钥，电脑打不开，完全变砖，只能重装系统，数据全部白给

举个法外狂徒的例子：

【李四】有一台C940，出厂自带Bitlocker保护，机器有TPM芯片
【张三】是【李四】的同事，知道李四的电脑里有一份【很有研究价值的学习资料 】
但是【张三】不好意思向【李四】开口要这份资料
【张三】决定趁李四人不在的时候，插U盘，进PE系统去下载这份学习资料
当【张三】进入PE系统的的时候，发现【李四】的硬盘无法读取任何资料，因为受到了Bitlocker保护
【张三】尝试使用安全模式进李四的系统时，同样遇到了Bitlocker保护的情况
如果【张三】希望进去拿到学习资料，他需要知道一串48位的密钥&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;br/>这个48位密钥能暴力破解吗？
16^48=2^192长度
AES用的是256bit秘钥长度，等同于2^256组合。从这个角度来说，安全性被缩减到了2^192组合
也就是说，可能的密钥数量为6后面57个0
暴力破解，预约一下神威太湖之光说不定可以试试
即：基本没有能破解的方式，除了机主本人，没人能进去；除非肯下大代价/和微软有PY交易&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;br/>最后，【张三】还是通过沟通方式向【李四】索要了这份学习资料

附录：几个名词的解释[2]

【AES】高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。

• 高级加密标准由美国国家标准与技术研究院 （NIST）于2001年11月26日发布于FIPS PUB 197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一

【TPM】(Trusted Platform Module)安全芯片是指符合TPM（可信赖平台模块）标准的安全芯片，它能有效地保护PC、防止非法用户访问。

• 用于存储、管理BIOS开机密码以及硬盘密码，也可以加密硬盘的任意分区（TPM提供密钥）
• TPM安全芯片包含了分别实现RSA、SHA等算法硬件处理引擎，它既是密钥生成器，又是密钥管理器件TPM安全芯片首先验证当前底层固件的完整性，如正确则完成正常的系统初始化，然后由底层固件依次验证BIOS和操作系统完整性，如正确则正常运行操作系统，否则停止运行。（机器开机的时候，TPM芯片会检查硬件完整性，如果有硬件变动，就会锁住数据，必须输入Bitlocker密钥）

TPM的优势——

• 相比没有TPM芯片的机器，带TPM的机器可以储存密钥和关键信息在TPM芯片内部，相比存在硬盘里的密钥，TPM芯片更安全
• TPM加密的数据，只有这块芯片能解锁，数据和机器/芯片绑定，更安全
• TPM独立于硬盘之外，破解门槛高（一般情况没法破解，网上的破解教程基本都是假的）

✨2、Bitlocker有什么用？

前面的内容，看完大概知道了Bitlocekr有什么用，这里总结一下

Bitlocker用途如下：

1. 加密硬盘数据，且几乎无法破解
2. 在硬件发生变动时，锁定计算机

Bitlocker的几个需要知道的地方：

1. 绑定微软账户时，密钥会传到微软的服务器，在微软账户里，需要的时候记得登录微软账户找回
2. 如果锁定了，自己手上没有密钥，只能重装系统
3. 一些机器是带TPM芯片的，BitLocker会绑定机器硬件，同一块硬盘，即使知道密钥，在别的机器上也打不开
4. Bitlocker可以手动关闭

✨3、BitLocker怎么使用

新机默认自动打开

已打开，可关闭，需要找到BitLocker设置——

开始-设置-更新与安全-设备加密

BitLocker设置

• 可选备份恢复密钥

备份恢复密钥——

• 保存到文件（txt）（不能保存到加密的磁盘里）（可以存到U盘里）
• 打印（可选为PDF）

打印是这个样子——

• 标识符（在需要输入密钥的地方会有提示，告诉你是哪个机器的密钥）
• 密钥——48位纯数字，中间的分隔符不用输入

Bitlocker是实时加密解密的，解锁的时候会读取整盘的数据

4、查找我的BitLocker密钥[3]

• 在 Microsoft 帐户中：在另一台设备上登录到你的 Microsoft 帐户以查找恢复密钥。如果其他用户在设备上拥有帐户，你可以要求他们登录到他们的 Microsoft 帐户，以查看他们是否有密钥。
• 在保存的打印输出中：恢复密钥可能位于激活 BitLocker 时保存的打印输出中。在存放与你的计算机相关的重要文件的位置查找。
• 在 U 盘上：将 U 盘插入已锁定的电脑，然后按照说明进行操作。如果你已在 U 盘上将密钥另存为文本文件，则使用另一台计算机阅读此文本文件。
• 在 Azure Active Directory 帐户中：如果曾使用工作单位或学校电子邮件帐户登录到某个组织，恢复密钥可能会存储在该组织与你的设备相关联的 Azure AD 帐户中。你或许可以直接访问它，也可能需要联系系统管理员来访问恢复密钥。
• 系统管理员持有：如果你的设备连接了某个域（通常是工作单位或学校设备），则联系系统管理员索要恢复密钥。

5、补充阅读

• 通过雷电三绕过TPM芯片读取机器数据

• 找到的18年的资料，非常全面——

完结撒花！

参考

1. ^《百度百科》BitLocker https://baike.baidu.com/item/bitlocker/8001354?fr=aladdin
2. ^揭秘TPM安全芯片技术及加密应用 https://blog.csdn.net/kouryoushine/article/details/89216244
3. ^微软官网-查找BitLocker密钥 https://support.microsoft.com/zh-cn/help/4026181/windows-10-find-my-bitlocker-recovery-key