可使用BitLocker对Windows 11硬盘或驱动器加密,支持控制面板、文件资源管理器、命令行及虚拟硬盘四种方式,需备份恢复密钥并确保TPM 2.0启用。
如果您希望对Windows 11中的整个硬盘或指定驱动器进行加密保护,以防止未经授权的物理访问导致数据泄露,则可使用系统内置的BitLocker驱动器加密功能。以下是具体操作步骤:
一、通过控制面板启用BitLocker
此方法适用于所有Windows 11版本,通过传统控制面板界面进入BitLocker设置,路径清晰稳定。
1、按下Win + S组合键,在搜索框中输入控制面板并打开。
2、在控制面板右上角将“查看方式”设为大图标,然后点击BitLocker驱动器加密。
3、在驱动器列表中找到目标硬盘分区(如C:、D:等),点击其下方的启用BitLocker按钮。
4、在向导中选择使用密码解锁驱动器,输入并确认一个高强度密码。
5、选择恢复密钥备份位置,必须至少选择一项:保存到Microsoft账户、保存到文件或打印出来。
6、选择加密范围:仅加密已用磁盘空间(推荐用于新驱动器或首次加密)或加密整个驱动器(适用于已有敏感数据且需彻底覆盖空闲空间)。
7、选择加密模式:新加密模式(适用于本地固定驱动器),或兼容模式(仅限移动设备)。
8、点击开始加密,系统将在后台执行加密,进度可在BitLocker管理界面实时查看。
二、通过文件资源管理器直接启用
该方式无需进入控制面板,直接在“此电脑”界面操作,适合快速启动加密流程。
1、双击桌面或任务栏上的此电脑图标,打开文件资源管理器。
2、在“设备和驱动器”区域,右键点击目标驱动器(例如E:),选择启用BitLocker。
3、后续步骤与控制面板方式完全一致,包括设置密码、备份恢复密钥、选择加密范围和模式。
4、确认设置后点击开始加密,系统即开始处理。
三、使用命令行工具启用BitLocker
适用于高级用户或需批量部署场景,可通过PowerShell或CMD精确控制加密状态与参数。
1、以管理员身份运行PowerShell:在搜索框输入PowerShell,右键选择以管理员身份运行。
2、输入命令manage-bde -status,确认目标驱动器未加密且支持BitLocker(需TPM 2.0或兼容启动模式)。
3、执行加密命令:manage-bde -on D: -UsedSpaceOnly -Password(将D:替换为实际盘符)。
4、系统将提示输入并确认密码,随后自动启动加密进程。
5、加密过程中可随时使用manage-bde -status D:查询进度与状态。
四、创建并加密虚拟硬盘(VHD/VHDX)
当目标物理硬盘不支持BitLocker(如FAT32格式或无TPM模块),或需构建便携式加密容器时,可创建受BitLocker保护的虚拟磁盘。
1、按下Win + X,选择磁盘管理。
2、点击顶部菜单“操作”→“创建VHD”,设置保存路径、大小(建议≥1GB)、格式为VHDX,类型选动态扩展。
3、创建完成后,右键该未初始化磁盘,选择初始化磁盘,分区形式选GPT。
4、右键“未分配”区域,选择新建简单卷,按向导完成NTFS格式化并分配驱动器号(如Z:)。
5、右键新驱动器Z:,选择启用BitLocker,全程按向导设置密码与恢复密钥。
6、加密完成后,将敏感文件移入Z:盘,使用完毕后可通过“弹出”安全卸载该虚拟磁盘。
五、验证与注意事项
加密生效后,系统会为受保护驱动器添加小锁图标标识;重启或从其他系统启动时,访问该驱动器将强制要求输入BitLocker密码或插入USB密钥。
1、确保系统已启用TPM 2.0芯片且BIOS中开启安全启动与TPM选项。
2、C盘(系统盘)加密需满足设备加密前提条件:登录微软账户、具备TPM 2.0、UEFI固件及安全启动。
3、恢复密钥是唯一解密凭证,丢失密钥且忘记密码将永久无法访问数据。
4、BitLocker加密过程不可中断,建议连接电源并避免休眠;加密期间仍可正常使用系统,但I/O性能可能临时下降。
