需使用Windows 11专业版/企业版/教育版启用BitLocker To Go,或用VeraCrypt跨平台加密;方法包括文件资源管理器右键、控制面板、PowerShell命令行及VeraCrypt创建加密容器。
如果您希望为U盘或移动硬盘等可移动存储设备启用高强度加密保护,防止设备丢失后数据被非法读取,则需使用支持BitLocker To Go的Windows 11专业版、企业版或教育版。以下是多种可行的加密方法:
一、通过文件资源管理器启用BitLocker To Go
该方式无需离开桌面环境,直接在资源管理器中右键操作,路径最短、响应最快,适用于单个已连接的U盘或移动硬盘。
1、按Win + E组合键打开文件资源管理器。
2、在左侧导航栏点击“此电脑”,在“设备和驱动器”区域找到目标移动存储设备(如G:盘)。
3、右键点击该设备图标,从上下文菜单中选择“启用 BitLocker”。
4、在弹出窗口中勾选“使用密码解锁驱动器”,输入并确认一个至少12位、含大小写字母、数字及符号的强密码。
5、点击“下一步”,选择恢复密钥保存方式:务必同时勾选“保存到文件”与“保存到Microsoft账户”,并将密钥文件存入另一台离线设备或打印纸质备份。
6、在加密范围页面,若设备为全新或仅存少量数据,选择“仅加密已用磁盘空间”;若曾存储过敏感内容,必须选择“加密整个驱动器”。
7、加密模式选择“新加密模式”(推荐用于Windows 11本地使用);若需在Windows 7等旧系统上读取,改选“兼容模式”。
8、确认设置无误后,点击“开始加密”,加密期间可继续使用电脑,但切勿拔出设备。
二、通过控制面板启用BitLocker To Go
当文件资源管理器右键菜单未显示“启用 BitLocker”选项时,此方法作为稳定替代路径,尤其适用于系统策略限制或界面异常场景。
1、按Win + S打开搜索框,输入“控制面板”并点击打开。
2、将右上角“查看方式”切换为“大图标”,然后点击“BitLocker 驱动器加密”。
3、向下滚动至“可移动数据驱动器”区域,找到对应U盘或移动硬盘,点击其右侧的“启用 BitLocker”链接。
4、后续步骤与方法一完全一致:设置密码→备份恢复密钥→选择加密范围与模式→启动加密。
三、通过PowerShell命令行批量启用
适用于IT管理员或技术用户需对多个已插入的移动设备执行统一加密策略,支持脚本化部署,避免重复图形界面操作。
1、右键点击“开始”按钮,选择“Windows Terminal(管理员)”或“Windows PowerShell(管理员)”。
2、输入命令:manage-bde -status,确认目标设备盘符(如H:)未启用BitLocker且TPM/固件支持就绪。
3、执行加密命令:manage-bde -on H: -UsedSpaceOnly -Password(将H:替换为目标盘符)。
4、系统提示输入并确认密码;若需完整加密,请将-UsedSpaceOnly替换为-FullEncryption。
5、加密启动后,可通过manage-bde -status H:实时查看进度与状态。
四、使用VeraCrypt创建标准加密卷
VeraCrypt为开源跨平台工具,不依赖Windows版本或BitLocker许可,可创建独立加密容器或全盘加密移动设备,规避系统级功能限制。
1、从VeraCrypt官网下载并安装最新版软件(需验证数字签名)。
2、启动VeraCrypt,点击“创建加密文件容器”,选择“创建一个加密的文件容器”。
3、指定容器保存路径(如U盘根目录下命名为secure.vol),设置容量(建议略小于U盘可用空间)。
4、选择加密算法为AES,哈希算法为SHA-256,点击“下一步”。
5、输入并确认高强度密码(不可与BitLocker密码相同),完成向导。
6、返回主界面,点击“选择文件”,定位到刚创建的容器文件,点击“挂载”,输入密码后获得一个新盘符(如X:)。
7、将敏感文件复制至该挂载盘,使用完毕后在VeraCrypt中点击“卸载”,容器即自动加密锁定。
