BitLocker驱动器加密是Windows内置的全盘加密方案,可通过控制面板、文件资源管理器右键、PowerShell或manage-bde命令行四种方式启用,支持密码解锁、恢复密钥备份、加密范围与模式选择等功能。
如果您希望对Windows系统中的某个驱动器实施全盘加密以防止未经授权的数据访问,则BitLocker驱动器加密是内置且可靠的选择。以下是完成该操作的多种可行方法:
一、通过控制面板启用BitLocker
此方法适用于所有支持BitLocker的Windows专业版、企业版或教育版用户,操作直观、无需命令行基础。
1、点击“开始”菜单,在搜索框中输入BitLocker,从结果中选择“管理BitLocker”。
2、在BitLocker驱动器加密窗口中,找到目标驱动器(如C盘、D盘或可移动驱动器),在其右侧点击启用BitLocker。
3、勾选使用密码解锁驱动器,输入并确认一个强密码(建议含大小写字母、数字及符号,长度不少于8位)。
4、选择恢复密钥保存方式:可保存到Microsoft账户、U盘或打印出来;推荐至少两种方式并存。
5、选择加密范围:若为首次加密且驱动器为新盘或数据量少,可选仅加密已用空间;若需彻底清除残留数据痕迹,应选加密整个驱动器。
6、选择加密模式:对于固态硬盘(SSD),选择新加密模式;对于传统机械硬盘(HDD)或需兼容旧系统时,选择兼容模式。
7、点击开始加密,系统将后台执行加密任务,期间设备可正常使用。
二、通过文件资源管理器右键启用
该方式直接快捷,尤其适合非系统盘(如D盘、移动硬盘)的快速加密操作,不依赖控制面板路径。
1、打开“此电脑”,在驱动器列表中右键单击目标驱动器图标(例如U盘或D盘)。
2、在弹出菜单中选择启用BitLocker。
3、按提示选择解锁方式:对移动设备推荐密码,对固定数据盘可选智能卡(如有)。
4、设置密码后,必须完成恢复密钥备份步骤,否则无法进入下一步。
5、选择加密范围与模式,与方法一中第5、6步要求一致。
6、确认后点击开始加密,状态栏将显示实时进度。
三、使用PowerShell命令行启用
该方法适用于批量部署、脚本自动化或需要精细控制加密参数的高级用户,需以管理员身份运行PowerShell。
1、右键点击“开始”按钮,选择Windows PowerShell(管理员)或终端(管理员)。
2、输入以下命令启用C盘加密(仅加密已用空间,使用AES256算法):
Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -UsedSpaceOnly
3、若需加密整个驱动器,替换参数为:
Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -FullVolumeEncryption
4、执行后系统将自动生成恢复密钥,并提示您使用Backup-BitLockerKeyProtector命令导出密钥,例如:
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[0].KeyProtectorId -FilePath "C:\RecoveryKey.BEK"
5、确保导出路径存在且有写入权限,否则命令将失败。
四、使用manage-bde.exe命令行工具启用
此工具提供比PowerShell更底层的控制能力,支持离线卷操作与故障修复场景,常用于企业IT运维。
1、以管理员身份打开命令提示符或PowerShell。
2、输入命令查看当前驱动器BitLocker状态:
manage-bde -status
3、对D盘启用加密并指定密码保护:
manage-bde -on D: -password
4、系统将提示输入并确认密码;随后自动创建并关联恢复密钥。
5、如需指定恢复密钥保存至文件:
manage-bde -protectors -add D: -recoverypassword
6、执行完成后,可用manage-bde -status D:验证加密是否生效及保护器类型。
