IT之家學院：手把手教你全盤加密（Windows篇）

對於一般人來講，全盤加密也許並不必要；然而，如果你需要處理像商業機密和不希望被其他人看見的隱私的話，那麼全盤加密就顯得很有必要了。

全盤加密的意義有以下兩個：

1、淘汰舊電腦的時候，舊電腦硬碟上遺留的機密數據不會被有心人士挖掘出來並公之於眾；

2、只要加密強度設置地足夠高，無論是執法人員還是那些企圖盜取數據的不法分子都無法獲取他們想要的數據。

對於Windows平台，這裡我介紹兩種全盤加密方法：

UEFI啟動方式：BitLocker加密。某些設備像Surface系列出廠就默認開啟了，這裡討論的是那些默認不開啟的電腦。

Legacy啟動方式：使用開源加密軟體，如VeraCrypt（TrueCrypt的分支項目）。

當然，只要滿足一定條件，Legacy啟動方式下也可以使用BitLocker加密。

首先，介紹BitLocker加密如何操作。BitLocker加密功能不適用於家庭版的Windows Vista/7/8/8.1/10。

BitLocker加密最好在至少Windows 8專業版或企業版下完成，這裡使用Windows 10專業版來演示。

理論上講Windows Vista商業版/企業版/旗艦版、Windows 7專業版/企業版/旗艦版、WES7也可以BitLocker全盤加密，但是無法在開機輸入普通的解密密碼解密，只能使用TPM晶元、密鑰盤和難以記憶的恢復密鑰來解密。

在系統盤按滑鼠右鍵，選擇啟用BitLocker。

相信絕大多數人的電腦都沒有TPM晶元，會收到這個提示。

商用級別的電腦一般會具備TPM晶元，可以正常進行步驟。

將它關閉，運行組策略管理器（gpedit.msc）。

依次展開計算機配置下的「管理模板」、「Windows組件」、「BitLocker驅動器加密」、「操作系統驅動器」。

打開「啟動時需要附加身份驗證」。

將其配置成「已啟用」，並開啟「沒有兼容的TPM時允許BitLocker」。

如果你的電腦有TPM晶元但不想利用硬體自帶的TPM晶元來實現開機自動解密，那麼將配置TPM啟動改成「不允許TPM」，其餘保持默認，確定。

如果你想提高加密的安全性，依次展開計算機配置下的「管理模板」、「Windows組件」、「BitLocker驅動器加密」，裡面有「選擇驅動器加密方法和密碼長度」。

對於Windows Vista到Windows 10首個正式版，建議選擇AES 256位。

對於Windows 10版本1511（TH2）和以上版本，建議按照下圖配置。

修改成256位加密之後，加密所需時間可能會比使用128位加密更長，但是為了獲取更高的安全性，這是十分值得的。

這個時候應該就可以加密了。

可能會出現這個提示，不用管。

執行到這個步驟的時候，系統會問你是打算利用U盤解密還是輸入密碼解密。

我個人比較推薦使用密碼來解密。

輸入一個強密碼，這個步驟不用我多說了，越複雜越好，越沒規律越好，不要設置成你的生日，手機號之類的簡單密碼。

最後系統會問你將恢復密鑰保存到哪裡。

如果使用的是Windows 8或以上版本，你可以保存到微軟賬戶上。你也可以保存到U盤上或者是移動硬碟上，或者是列印下來（不推薦）。

刪除恢復密鑰，就等於切斷了你救回數據的重要途徑。

如果使用的是Windows 8或以上版本，系統會問你是加密已使用空間還是整個驅動器。

如果是一塊剛剛裝好系統的全新硬碟，此前沒有接觸過任何機密數據，那麼使用僅加密已用磁碟空間即可，可以大幅節省加密所需的時間。

但如果以前有接觸過且此前確實沒特地擦除過機密數據，那麼使用加密整個驅動器是最穩妥的。

這裡我們使用「加密整個驅動器」。

系統右下角會提示你準備重啟電腦，點開之後，點「立即重新啟動」。

重啟之後，將你前面設置的密碼照著輸入一遍，然後回車進入系統。

重啟回到系統之後，系統就會自動對系統盤進行加密處理。

如果你用的不是Administrator賬號，你是看不到系統盤加密進度的。這種情況下，你可以利用管理員命令提示符或是PowerShell執行manage-bde -status命令來查看加密進度。

這個時候，你可以繼續加密其它非系統盤或U盤，這個加密過程可以實時看到。

加密非系統盤的界面和加密系統盤的界面有一定區別，少了一些步驟。

不過我相信你們應該都知道怎麼操作了。

你還可以打開BitLocker驅動器加密管理（在Cortana搜索框可以輕易調出），在裡面開啟非系統盤自動解鎖。但是，開啟這個功能的前提是系統盤必須要開啟BitLocker加密。

由於加密過程十分漫長，系統支持在加密的過程中暫停加密，等時間允許之後再來完全加密。

Legacy啟動方式使用BitLocker全盤加密的一個基本要求是，啟動文件必須放在一個單獨的分區里，也就是系統保留分區，這樣才可以BitLocker全盤加密。如果是使用原版安裝鏡像安裝的Windows且確實保留了系統保留分區，那麼一般是符合這個條件的。

不知道的話，可以打開磁碟管理（diskmgmt.msc）檢查是否有系統保留分區。

以後每次開機，都會見到這個BitLocker加密輸入密碼的提示。

一些PE可以支持對BitLocker分區的訪問，例如Windows原版安裝鏡像附帶的WinPE，以及光卡所製作的Hikari PE，這麼一來就可以在需要重裝系統的時候轉移你需要轉移的數據。

以使用Windows原版安裝鏡像附帶的WinPE為例，從安裝鏡像啟動，進入系統安裝界面之後，按下Shift+F10來調出命令提示符。如果我們要解密C盤，輸入這個命令：

manage-bde -unlock C: -pw

執行之後，輸入解密密碼，然後就可以訪問加密分區了。

如果是要使用恢復密鑰解密，那麼命令就是：

manage-bde -unlock C: -recoverypassword XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

上述命令中的「XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX」就是恢復密鑰。

進行加密會使硬碟的寫入速度降低一些，不過為了更穩妥的安全性，即便損失一點寫入速度也是比較值得的。

如果你想解除BitLocker加密，你可以在BitLocker管理界面關閉BitLocker。建議先關閉數據盤的BitLocker後關閉系統盤的BitLocker。

如果你使用的是Windows XP、Windows Vista、Windows 7或使用Legacy啟動方式的Windows 8及以上版本，那麼你還可以使用第三方加密工具，例如VeraCrypt。

TrueCrypt 7.1a也可以使用，兩者的使用方法大同小異。

VeraCrypt可在這裡下載：https://www.veracrypt.fr/en/Downloads.html

TrueCrypt可在這裡下載：https://truecrypt.ch/downloads/

首次啟動，如果需要改成中文，你可以在Settings–Language里改成簡體中文。

點「系統」里的加密系統分區/驅動器。

然後下一步，你可以根據你的實際情況選擇是加密系統盤還是全部分區。一般情況下，建議選擇「加密整個硬碟驅動器」。

加密主機保護區域，如果你的硬碟確實弄的很複雜，比如組了RAID，那麼請選擇否。如果只有一塊硬碟，那麼選擇「是」。

是否加密多個系統，這裡請根據實際情況選擇，一般情況下選擇「單系統」。

加密演算法，一般情況下保持默認即可，無需改動。

這個步驟設置一個足夠長的密碼，如果少於20個字元，下一步之前它會警告。這裡為了演示，使用了一個16字元的密碼。

到了這個階段，就是產生加密所需隨機數值的過程。你需要將滑鼠在這個窗口內隨意移動，最好是移動到進度條填滿為止。

然後就可以下一步，你可以看到你的首密鑰和主密鑰。這個你可以勾上下面的選項來記下來，也可以不用記下來。

接下來就是製作應急盤的過程。將應急盤鏡像做出來之後，單獨複製出來一份保存。

接下來到了擦除空閑空間的步驟。

如果是一塊從未接觸過機密數據的硬碟，可以不用擦除，直接進行下一步。

如果接觸過機密數據，一般選擇7次擦除。不放心的話可以使用Gutmann的35次擦除。

需要注意的是，固態硬碟不能使用此方法擦除數據，應改為使用廠商提供的安全擦除法。

接下來就是啟動預測試，點測試，看清楚使用說明之後，重啟電腦。

重啟之後，你應當會進入這樣的界面。

輸入密碼並回車，在系統詢問PIM值的時候，直接按回車鍵即可。

驗證過程需要等待一會兒，然後就進入系統了。

進入系統之後，系統會提示加密完成，只需要點Encrypt正式開始加密即可。

加密完成需要花一些時間，你可以隨時點旁邊的Pause暫停加密。

你還可以在VeraCrypt主界面里進入「設置」，「系統加密」，在這裡所說的勾選隱藏系統加密的提示和PIM值要求。如果願意的話還可以顯示自定義信息。

在這個例子中，我們將啟動時的提示改成IPC Corporation Loader，這樣開機的時候就會卡在這個提示下。

你在這個提示下照常輸入密碼然後按下回車鍵，等大概40秒（以這個情況為例）即可進入系統。如果覺得比較慢，可以解密之後改用TrueCrypt加密。

下面來說一下如何使用急救盤以及解除VeraCrypt/TrueCrypt加密。

在TrueCrypt啟動程序損壞的時候，從急救盤啟動，然後就像之前驗證那樣把密碼輸入一遍。

而解密的話，只需要進入系統之後，點「永久解密系統分區/驅動器」即可。

無論是哪種加密途徑，要說明的幾個注意事項：

1、一定要設置一個開機密碼，不用電腦的時候將電腦鎖定；

2、如果電腦有1394介面，一定要禁用掉，並在組策略禁止1394設備的安裝防止有心人士加裝1394擴展卡。因為IEEE1394可以直接訪問內存，只要在系統登錄界面下，拿出另一台電腦，用火線將兩台電腦連接起來，通過某些工具直接將整個內存做一個鏡像，然後從內存讀取解密密碼，剩下的就不用多說了。這個操作就是所謂的「火線攻擊」（Firewire Attack）。禁用1394介面帶來的影響，就是使用1394介面的外設全部無法使用。不過我想現在應該沒幾個人還在用1394介面傳輸數據了吧；

3、不要將密碼存在不安全的地方，例如寫在一張紙條放在電腦旁邊，這跟沒加密沒區別了。加密的意義就是要防止有心人士獲取不想被其他人獲取的數據。

4、無論是哪種加密方式，都會對硬碟的性能帶來一定影響。如果這個電腦不拿來進行機密文件的處理，就是拿來日常娛樂，那麼全盤加密是毫無必要的。

想看到更多這類內容？去APP商店搜IT之家，天天都有小歡喜。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！