Windows如何开启和配置BitLocker驱动器加密？（保护数据安全）

BitLocker驱动器加密需Windows专业版/企业版/教育版及TPM 1.2+硬件支持；启用前须确认系统版本、TPM状态与BIOS设置，再通过图形界面或命令行配置加密选项并妥善保存恢复密钥。

如果您希望对Windows系统中的驱动器启用加密以防止未授权访问，则需确认系统版本支持并正确配置BitLocker功能。以下是开启和配置BitLocker驱动器加密的具体步骤：

一、确认系统版本与硬件要求

BitLocker驱动器加密仅适用于Windows专业版、企业版或教育版，Windows 10/11家庭版不支持BitLocker功能。若在“开始”菜单搜索“管理BitLocker”后无此选项，表明当前系统版本不满足要求。同时，若需启用TPM保护的系统盘加密，设备须配备1.2版或更高版本的可信平台模块（TPM），且BIOS中已启用TPM并设为优先从硬盘启动。

1、点击“开始”，在搜索框中输入“系统信息”，打开后查看“系统类型”和“Windows版本”。

2、按Win+R键，输入tpm.msc并回车，检查TPM管理控制台是否显示“可用”状态。

3、重启进入BIOS设置界面，确认“Security”或“Advanced”选项中TPM已启用（可能标注为PSP fTPM、AMD fTPM或Intel PTT）。

二、通过图形界面启用BitLocker

该方法适用于已满足系统与硬件条件的用户，操作直观且无需命令行干预，可对操作系统驱动器、固定数据驱动器及可移动驱动器分别加密。

1、使用管理员账户登录Windows系统。

2、点击“开始”，在搜索框中输入“管理BitLocker”，从结果列表中选择该项。

3、在BitLocker驱动器加密窗口中，找到目标驱动器（如C:为操作系统驱动器，E:为U盘），点击其右侧的“打开BitLocker”链接。

4、选择解锁方式：勾选“使用密码解锁驱动器”或“使用智能卡解锁驱动器”，推荐首次使用时选择密码方式并务必保存恢复密钥。

5、输入并确认密码，点击“下一步”。

6、选择恢复密钥保存位置——可选“保存到文件”“打印恢复密钥”或“将密钥保存到Microsoft账户”，严禁跳过此步或仅保存于同一驱动器内。

7、选择加密范围：“仅加密已用空间”（适合新驱动器或首次启用）或“加密整个驱动器”（适合曾存储敏感数据的驱动器）。

8、选择加密模式：“新加密模式”（仅限Windows 10/11，兼容性高）或“兼容模式”（支持旧版Windows读取）。

9、勾选“运行BitLocker系统检查”，点击“启动加密”。

三、通过命令行启用BitLocker

适用于批量部署或脚本化管理场景，可绕过图形界面限制直接调用manage-bde工具，支持对未分配盘符的卷进行预配置。

1、以管理员身份运行“Windows PowerShell”或“命令提示符”。

灵云AI开放平台

灵云AI开放平台

下载

2、输入命令 manage-bde -on C: -recoverypassword 启用C盘加密并自动生成恢复密码。

3、如需指定密码，执行 manage-bde -on D: -password，系统将提示输入并确认密码。

4、备份恢复密钥至文件：执行 manage-bde -protectors -adbackup C: -id {ID}，其中{ID}为上一步输出的密钥标识符。

5、查看加密状态：输入 manage-bde -status C:，确认“转换状态”为“正在加密”或“完全加密”。

四、启用BitLocker服务（Windows 7等旧系统）

部分旧版Windows（如Windows 7）需手动启动后台服务才能响应BitLocker图形界面操作，否则右键菜单中不会出现“启用BitLocker”选项。

1、点击“开始”，在搜索框中输入“services.msc”，回车打开服务管理器。

2、在服务列表中定位“BitLocker Drive Encryption Service”。

3、右键该服务，选择“属性”，将“启动类型”设为“自动”，然后点击“启动”按钮。

4、点击“确定”关闭属性窗口，返回服务列表确认状态栏显示“正在运行”。

5、重启资源管理器进程：按Ctrl+Shift+Esc打开任务管理器，找到“Windows资源管理器”，右键选择“重新启动”。

五、准备系统分区（针对操作系统驱动器加密）

若对系统盘（C:）启用BitLocker，Windows要求存在一个独立的、未加密的100–500 MB系统保留分区用于存放启动文件；若该分区缺失或过小，需预先使用磁盘管理工具创建。

1、右键“此电脑”，选择“管理”，进入“磁盘管理”。

2、右键系统所在磁盘的最左侧未分配空间或压缩卷，选择“新建简单卷”，按向导创建大小为500 MB的新卷。

3、右键新建卷，选择“标记为活动分区”（仅限主磁盘）。

4、右键该卷，选择“格式化”，文件系统选FAT32，分配单元大小默认，勾选“快速格式化”，完成。

5、打开管理员权限的CMD，执行 bcdboot C:\Windows /s S: /f UEFI（S:为新建分区盘符），重建启动环境。