BitLocker 常见问题解答

BitLocker 如何与操作系统驱动器协同工作

BitLocker 可用于通过加密操作系统驱动器上的所有用户文件和系统文件（包括交换文件和休眠文件）以及检查早期启动组件和启动配置数据的完整性来缓解丢失或被盗计算机上的未经授权的数据访问。

BitLocker 如何与固定和可移动数据驱动器协同工作

BitLocker 可用于加密数据驱动器的整个内容。 组策略可用于要求在驱动器上启用 BitLocker，然后计算机才能将数据写入驱动器。 可以使用数据驱动器的各种解锁方法配置 BitLocker，并且数据驱动器支持多种解锁方法。

是，BitLocker 支持针对操作系统驱动器的多重身份验证。 如果在具有 TPM 版本 1.2 或更高版本的计算机上启用了 BitLocker，则可以将其他形式的身份验证与 TPM 保护一起使用。

有关要求，请参阅系统要求。

注意

BitLocker 不支持动态磁盘。 动态数据卷不会显示在控制面板中。 尽管操作系统卷将始终显示在控制面板中，无论它是否是动态磁盘，如果它是动态磁盘，则不能受到 BitLocker 的保护。

之所以需要两个分区运行 BitLocker，是因为预启动身份验证和系统完整性验证必须出现在加密操作系统驱动器中的独立分区上。 此配置有助于保护加密驱动器中的操作系统和信息。

BitLocker 支持 TPM 版本 1.2 或更高版本。 对 TPM 2.0 的 BitLocker 支持需要设备的统一可扩展固件接口 (UEFI) 。

注意

BIOS 的旧版和 CSM 模式不支持 TPM 2.0。 具有 TPM 2.0 的设备必须仅将其 BIOS 模式配置为本机 UEFI。 必须禁用旧版和兼容性支持模块 (CSM) 选项。 为了提高安全性，请启用安全启动功能。

如果 BIOS 模式更改为 UEFI，旧版模式中硬件上安装的操作系统将阻止操作系统启动。 在更改 BIOS 模式之前，请使用 MBR2GPT 工具，该模式将准备 OS 和磁盘以支持 UEFI。

从 Windows 10 版本 1803 开始，可以在安全中心>设备安全>处理器详细信息Windows Defender检查 TPM 状态。 在早期版本的 Windows 中，打开 TPM MMC 控制台 (tpm.msc) ，然后在 “状态” 标题下查看。 Get-TPM** 也可以在 PowerShell 中运行，以获取有关当前计算机上的 TPM 的更多详细信息。

是的，如果 BIOS 或 UEFI 固件能够在启动环境中的 USB 闪存驱动器读取数据，则可以在没有 TPM 版本 1.2 或更高版本的操作系统驱动器上启用 BitLocker。 在计算机的 TPM 或包含该计算机的 BitLocker 启动密钥的 USB 闪存驱动器首次释放 BitLocker 自己的卷主密钥之前，BitLocker 不会解锁受保护的驱动器。 但是，没有 TPM 的计算机将无法使用 BitLocker 还可以提供的系统完整性验证。 若要帮助确定计算机在启动过程中是否能够从 USB 设备读取数据，请将 BitLocker 系统检查用作 BitLocker 安装过程的一部分。 此系统检查会执行测试以确认计算机在适当的时间是否能够从 USB 设备正确地读取数据，并验证计算机是否满足其他 BitLocker 要求。

联系计算机制造商以请求满足以下要求的受信任的计算组 (TCG) 兼容的 BIOS 或 UEFI 启动固件：

若要在操作系统和固定数据驱动器上打开、关闭或更改 BitLocker 的配置，需要具有本地管理员组中的成员资格。 标准用户可以打开、关闭或更改可移动数据驱动器上的 BitLocker 的配置。

计算机的启动选项应配置为先在启动顺序中具有硬盘驱动器，然后再使用任何其他驱动器（如 CD/DVD 驱动器或 U 盘）。 如果硬盘不是第一个，并且计算机通常从硬盘启动，则在启动期间找到可移动媒体时，可能会检测到或假定启动顺序更改。 启动顺序通常影响 BitLocker 验证的系统度量，启动顺序的更改将导致提示输入 BitLocker 恢复密钥。 出于同样的原因，如果笔记本电脑与扩展坞一起使用，请确保硬盘驱动器在连接和取消停靠时都处于启动顺序的第一位。

是。

解密可完全删除 BitLocker 保护并完全解密驱动器。

暂停会保持数据的加密状态，但会使用明文密钥加密 BitLocker 卷主密钥。 明文密钥是一种加密密钥，存储在磁盘驱动器上，并且处于未加密和未保护状态。 通过以未加密的形式存储此密钥，暂停选项允许在没有解密和重新加密整个驱动器的时间和成本的情况下对计算机进行更改或升级。 在进行更改并且再次启用 BitLocker 之后，BitLocker 将对加密密钥进行重新封装使其为测量的组件（已更改为升级的一部分）的新值；卷主密钥将更改；保护程序也将更新以进行匹配；明文密钥将清除。

用户不需要任何操作的 BitLocker 才能将更新应用从 Microsoft，包括质量的 Windows 更新和功能更新。 对于下列各项等非 Microsoft 软件更新，用户需要暂停 BitLocker：

注意

如果 BitLocker 已挂起，则可以在安装升级或更新后恢复 BitLocker 保护。 在恢复保护后，BitLocker 将对加密密钥进行重新封装使其为测量的组件（已更改为升级或更新的一部分）的新值。 如果在不暂停 BitLocker 的情况下应用这些类型的升级或更新，则计算机将在重启时进入恢复模式，并且需要恢复密钥或密码才能访问计算机。

是的，可以使用 WMI 或 Windows PowerShell 脚本自动部署和配置 BitLocker 和 TPM。 选择哪种方法来实现自动化取决于环境。 Manage-bde.exe 还可用于本地或远程配置 BitLocker。 有关编写使用 BitLocker WMI 提供程序的脚本的详细信息，请参阅 BitLocker 驱动器加密提供程序。 有关结合使用 Windows PowerShell Cmdlet 和 BitLocker 驱动器加密的详细信息，请参阅 Windows PowerShell 中的 BitLocker Cmdlet。

是。

通常，性能开销很小，通常以个位数百分比表示，这与它需要操作的存储操作的吞吐量相关。

尽管 BitLocker 加密在后台发生，但用户继续使用系统保持可用状态，但加密时间因要加密的驱动器类型、驱动器大小和驱动器速度而异。 如果加密大型驱动器，可能需要在不使用驱动器时计划加密。

启用 BitLocker 后，还可以将 BitLocker 设置为加密整个驱动器或仅加密驱动器上的已用空间。 在新的硬盘驱动器上，仅加密已使用空间可以比加密整个驱动器快得多。 当选择此加密选项时，BitLocker 会在保存数据时自动加密数据，确保无任何数据以未加密的形式存储。

如果计算机处于关闭状态，或进入休眠状态，BitLocker 加密和解密过程将在下次 Windows 启动时从其停止的位置继续进行。 即使电源突然不可用，BitLocker 恢复加密或解密也是正确的。

否，BitLocker 在读取和写入数据时不会加密和解密整个驱动器。 仅当系统读取操作请求时，才对受 BitLocker 保护的驱动器中的加密扇区进行解密。 在对写入驱动器的程序块进行加密后，系统才会将其写入物理磁盘。 迄今为止，无任何未加密的数据存储在受 BitLocker 保护的驱动器上。

组策略设置可以配置为要求数据驱动器受 BitLocker 保护，然后受 BitLocker 保护的计算机才能将数据写入其中。 有关详细信息，请参阅 BitLocker 组策略设置。 启用这些策略设置后，受 BitLocker 保护的操作系统会将不受 BitLocker 保护的任何数据驱动器装载为只读。

Windows 10 中的 BitLocker 允许用户选择仅加密其数据。 尽管这不是加密驱动器的最安全方法，但此选项可将加密时间减少 99% 以上，具体取决于需要加密的数据量。 有关详细信息，请参阅 仅使用磁盘空间加密。

以下类型的系统更改可能导致完整性检查失败并且可能阻止 TPM 发布 BitLocker 密钥来加密受保护的操作系统驱动器：

由于 BitLocker 旨在保护计算机免受大量攻击，因此 BitLocker 在恢复模式下启动的原因有很多。 例如：

在 BitLocker 中，恢复包括对卷主密钥的副本进行加密（使用存储于 U 盘中的恢复密钥或衍生于恢复密码的加密密钥）。 TPM 不涉及任何恢复方案，因此，如果 TPM 未通过启动组件验证、发生故障或删除，恢复仍可行。

如果非 Windows OS 在 Windows 之前启动，或者安全启动对设备不可用，则可以防止 BitLocker 绑定到 PCR 7，因为设备已被禁用或硬件不支持它。

是的，如果启用了 BitLocker，则可以在同一台计算机上交换多个硬盘，但前提是硬盘在同一台计算机上受 BitLocker 保护。 BitLocker 密钥对 TPM 和操作系统驱动器是唯一的。 如果备份操作系统或数据驱动器需要在磁盘发生故障时做好准备，请确保它们与正确的 TPM 匹配。 还可以为不同的操作系统配置不同的硬盘驱动器，然后在每个操作系统上使用不同的身份验证方法启用 BitLocker， (例如，仅使用 TPM，使用 TPM+PIN) 且没有任何冲突。

是的，如果驱动器是数据驱动器，则可以使用密码或智能卡从 BitLocker 驱动器加密控制面板项解锁。 如果数据驱动器配置为仅自动解锁，则需要使用恢复密钥对其进行解锁。 可以通过数据恢复代理（如果已配置了一个）解锁已加密的硬盘，也可以通过使用恢复密钥对其进行解锁。

某些驱动器无法使用 BitLocker 加密。 无法加密驱动器的原因包括磁盘大小不足、文件系统不兼容、驱动器是动态磁盘或驱动器被指定为系统分区。 默认情况下，系统驱动器（或系统分区）不会显示。 但是，如果在安装操作系统时由于自定义安装过程而未将其创建为隐藏驱动器，则可能会显示该驱动器，但无法加密该驱动器。

可以使用 BitLocker 对任意数量的内部固定数据驱动器进行保护。 也支持某些版本的基于 ATA 和 SATA 的直接连接的存储设备。

可以使用密码或智能卡解锁可移动数据驱动器。 还可以将 SID 保护程序配置为使用用户域凭据解锁驱动器。 加密开始后，还可以在特定计算机上为特定用户帐户自动解锁驱动器。 系统管理员可以配置用户可用的选项，包括密码复杂性和最小长度要求。 若要使用 SID 保护程序解锁，请使用 manage-bde.exe：

有关列出和说明恢复密码、恢复密钥和 PIN 元素的表，请参阅 BitLocker 密钥保护器和 BitLocker 身份验证方法。

操作系统驱动器或固定数据驱动器的恢复密码和恢复密钥可以保存到文件夹、保存到一个或多个 USB 设备、保存到 Microsoft 帐户或打印。

对于可移动数据驱动器，恢复密码和恢复密钥可以保存到文件夹、保存到 Microsoft 帐户或打印。 默认情况下，可移动驱动器的恢复密钥不能存储在可移动驱动器上。

域管理员还可以将组策略配置为自动生成恢复密码，并将其存储在任何受 BitLocker 保护的驱动器Active Directory 域服务 (AD DS) 中。

Manage-bde.exe命令行工具可用于将仅限 TPM 的身份验证模式替换为多重身份验证模式。 例如，如果仅使用 TPM 身份验证启用了 BitLocker，并且需要添加 PIN 身份验证，请使用提升的命令提示符中的以下命令，将 4-20 位数字 PIN 替换为所需的数字 PIN：

满足 Windows 硬件兼容性计划要求的新硬件使 PIN 成为不太重要的缓解措施，与设备锁定等策略结合时，仅 TPM 的保护程序可能便已足够。 例如，Surface Pro和Surface Book没有要攻击的外部 DMA 端口。 对于可能需要 PIN 的较旧硬件，建议启用允许非数字字符（如字母和标点符号）的 增强型 PIN ，并根据计算机 TPM 上可用的风险容忍度和硬件防锤功能设置 PIN 长度。

BitLocker 的目的在于如果没有必需的身份验证，则无法恢复加密的驱动器。 当处于恢复模式时，用户需要恢复密码或恢复密钥，以解锁加密的驱动器。

重要提示

将恢复信息存储在 AD DS 中，以及存储在 Microsoft 帐户或其他安全位置中。

虽然在技术上可以使用 U 盘作为启动密钥和存储恢复密钥，但使用一个 U 盘来存储这两个密钥并不是最佳做法。 如果包含启动密钥的 U 盘丢失或被盗，恢复密钥也将丢失。 此外，插入此密钥会导致计算机从恢复密钥自动启动，即使 TPM 测量的文件已更改，这会绕过 TPM 的系统完整性检查。

是的，计算机的启动密钥可以保存在多个 U 盘上。 右键单击受 BitLocker 保护的驱动器并选择“ 管理 BitLocker ”，将提供根据需要将恢复密钥保存到其他 U 盘上的选项。

是的，不同计算机的 BitLocker 启动密钥可以保存在同一 U 盘上。

可以通过编写脚本为同一台计算机生成不同的启动键。 但是，对于具有 TPM 的计算机，创建不同的启动密钥会阻止 BitLocker 使用 TPM 的系统完整性检查。

无法生成多个 PIN 组合。

使用全卷加密密钥加密原始数据，然后使用卷主密钥对其进行加密。 卷主密钥又通过几种可能的方法之一进行加密，具体取决于身份验证 (即密钥保护程序或 TPM) 和恢复方案。

全卷加密密钥通过卷主密钥进行加密并存储在加密的驱动器中。 卷主密钥通过相应的密钥保护程序进行加密并存储在加密的驱动器中。 如果已暂停 BitLocker，用于加密卷主密钥的明文密钥将随同加密的卷主密钥一起存储在加密的驱动器中。

此存储过程可确保卷主密钥永远不会未加密存储，并且除非禁用 BitLocker，否则会受到保护。 密钥也会保存到驱动器上的两个其他位置中，以备不时之需。 启动管理器可读取和处理密钥。

F1 至 F10 键为通用映射扫描代码，可用于所有计算机上的预启动环境和所有语言。 数字键 0 到 9 在所有键盘上的预启动环境中都不可用。

如果使用增强的 PIN，用户应在 BitLocker 安装过程期间运行可选系统检查以确保在预启动环境中可正确输入 PIN。

执行暴力攻击的攻击者可能会发现个人标识号 (PIN) 。 暴力攻击会在攻击者使用自动化工具尝试不同的 PIN 组合时发生，一直持续到发现正确的那一个为止。 对于受 BitLocker 保护的计算机，这种类型的攻击（也称为字典攻击）要求攻击者对计算机具有物理访问权限。

TPM 具有内置的检测和响应这些类型攻击的功能。 由于不同制造商的 TPM 可能支持不同的 PIN 和攻击缓解措施，因此请联系 TPM 的制造商，以确定计算机的 TPM 如何缓解 PIN 暴力攻击。 确定 TPM 的制造商后，请与制造商联系以收集 TPM 的供应商特定信息。 大多数制造商使用 PIN 身份验证失败计数成倍增加 PIN 接口的锁定时间。 但是，每个制造商都有关于何时以及如何减少或重置失败计数器的不同策略。

可以在Windows Defender安全中心>设备安全性>处理器详细信息中确定 TPM 制造商。

当向 TPM 制造商询问字典攻击缓解机制的设计时，以下问题可能会提供帮助：

是和否。 可以使用“为启动组策略配置最小 PIN 长度”设置来配置最小个人标识号 (PIN) 长度，并通过启用“允许启动组策略增强的 PIN”设置来允许使用字母数字 PIN。 但是，无法通过组策略要求 PIN 复杂性。

有关详细信息，请参阅 BitLocker 组策略设置。

BitLocker To Go 是可移动数据驱动器上的一种 BitLocker 驱动器加密。 此功能包括以下项的加密：

驱动器分区必须满足 BitLocker 驱动器加密分区要求。

与 BitLocker 一样，可以通过在另一台计算机上使用密码或智能卡打开 BitLocker To Go 加密的驱动器。 在 控制面板 中，使用 BitLocker 驱动器加密。

如果在应用 组策略 强制备份之前在驱动器上启用了 BitLocker，则当计算机加入域或随后应用组策略时，恢复信息不会自动备份到 AD DS。 但是，组策略设置 选择如何恢复受 BitLocker 保护的操作系统驱动器，选择如何恢复受 BitLocker 保护的固定驱动器，并选择如何恢复受 BitLocker 保护的可移动驱动器，以要求在启用 BitLocker 之前将计算机连接到域，以帮助确保组织中受 BitLocker 保护的驱动器的恢复信息备份到 ADCsi

有关详细信息，请参阅 BitLocker 组策略设置。

BitLocker Windows Management Instrumentation (WMI) 接口允许管理员编写脚本来备份或同步联机客户端的现有恢复信息。 但是，BitLocker 不会自动管理此过程。 manage-bde.exe命令行工具还可用于手动将恢复信息备份到 AD DS。 例如，若要将 的所有 $env:SystemDrive 恢复信息备份到 AD DS，可以从提升的命令提示符使用以下命令脚本：

重要提示

将计算机加入域应该是组织内新计算机的第一步。 在计算机加入到域之后，BitLocker 恢复密钥将自动存储到 AD DS（如果组策略中已启用）。

是，在客户端计算机上，会记录指示 Active Directory 备份是成功还是失败的事件日志条目。 但是，即使事件日志条目显示“成功”，该信息可能随后已从 AD DS 中删除，或者可能通过 Active Directory 信息不再解锁驱动器（例如，通过删除恢复密码密钥保护程序）的方式已对 BitLocker 进行了配置。 此外，日志条目也可能受到欺骗。

最后，确定 AD DS 中是否存在合法备份需要通过使用 BitLocker 密码查看器工具并借助域管理员凭据来查询 AD DS。

否。 根据设计，BitLocker 恢复密码条目不会从 AD DS 中删除。 因此，可能会为每个驱动器看到多个密码。 若要标识最新的密码，请检查对象上的日期。

如果备份最初失败，例如在运行 BitLocker 安装向导时无法访问域控制器时，BitLocker 不会再次尝试将恢复信息备份到 AD DS。

当管理员选择“需要将 BitLocker 备份到 AD DS 检查”框时，Active Directory 域 Service (Windows 2008 和 Windows Vista) 策略设置中的“存储 BitLocker 恢复信息”框，或者等效的“在恢复信息存储在 AD DS 中之前不要启用 BitLocker”，以便 (操作系统 | 固定数据 | 可移动数据) 驱动器检查“选择如何恢复受 BitLocker 保护的操作系统驱动器”、“选择恢复 BitLocker 保护的固定数据驱动器的方式”和“选择恢复 BitLocker 保护的可移动数据驱动器的方式”策略设置中的任一框中，用户无法启用 BitLocker，除非计算机已连接到域并将 BitLocker 恢复信息备份到 AD DS 成功。 如果备份失败，则配置了这些设置，无法启用 BitLocker，从而确保管理员能够在组织中恢复受 BitLocker 保护的驱动器。

有关详细信息，请参阅 BitLocker 组策略设置。

当管理员清除这些检查框时，管理员允许驱动器受到 BitLocker 保护，而无需将恢复信息成功备份到 AD DS;但是，如果备份失败，BitLocker 不会自动重试备份。 相反，管理员可以创建备份脚本，如前面在 计算机加入域之前在计算机上启用 BitLocker 的情况中所述， 以在恢复连接后捕获信息。

BitLocker 使用高级加密标准 (AES) 作为其加密算法，可配置密钥长度为 128 位或 256 位。 默认加密设置为 AES 128，但通过使用组策略可对该选项进行配置。

操作系统驱动器上的 BitLocker 配置的建议做法是在具有 TPM 版本 1.2 或更高版本的计算机上实现 BitLocker，并且受信任的计算组 (TCG) 兼容 BIOS 或 UEFI 固件实现以及 PIN。 除了 TPM 验证外，还要求用户设置的 PIN，对计算机具有物理访问权限的恶意用户无法启动计算机。

操作系统驱动器上的 BitLocker 在其基本配置中 (TPM，但没有其他启动身份验证) 为休眠模式提供额外的安全性。 但是，如果 BitLocker 配置为使用其他启动身份验证因素， (TPM+PIN、TPM+USB 或 TPM+PIN+USB) 休眠模式，则 BitLocker 可提供更高的安全性。 此方法更安全，因为从休眠状态返回需要身份验证。 在睡眠模式下，计算机容易受到直接内存访问攻击，因为未受保护的数据保留在 RAM 中。 因此，为了提高安全性，建议禁用睡眠模式并将 TPM+PIN 用于身份验证方法。 可以通过将 组策略 或移动设备管理与 BitLocker CSP 配合使用来配置启动身份验证。

大多数操作系统使用共享的内存空间，并且依赖操作系统来管理物理内存。 TPM 是一种硬件组件，它使用自己的内部固件和逻辑电路来处理指令，从而使其屏蔽外部软件漏洞。 攻击 TPM 需要对计算机的物理访问权限。 此外，攻击硬件所需的工具和技能通常更昂贵，并且通常不如用于攻击软件的工具和技能可用。 并且，由于每个 TPM 对于包含它的计算机来说具有唯一性，因此攻击多个 TPM 计算机将非常困难而且耗时。

注意

使用额外的身份验证因素配置 BitLocker 可以进一步防范 TPM 硬件攻击。

BitLocker 网络解锁使在域环境中使用 TPM+PIN 保护方法的受 BitLocker 保护的桌面和服务器更易于管理。 当重新启动连接到有线企业网络的计算机时，网络解锁将允许绕过 PIN 条目提示。 通过使用由 Windows 部署服务服务器提供的作为其辅助身份验证方法的受信任密钥，它会自动解锁受 BitLocker 保护的操作系统卷。

若要使用网络解锁，必须为计算机配置 PIN。 当计算机未连接到网络时，需要提供 PIN 才能解锁它。

BitLocker 网络解锁对客户端计算机、Windows 部署服务和域控制器都有软件和硬件要求，在使用之前必须满足这些要求。

网络解锁使用两个保护程序 - TPM 保护器和网络或 PIN 提供的保护程序。 自动解锁使用单个保护程序 - 存储在 TPM 中的保护程序。 如果计算机在没有密钥保护程序的情况下加入网络，则会提示输入 PIN。 如果 PIN 不可用，则需要使用恢复密钥来解锁计算机（如果计算机无法连接到网络）。

有关详细信息，请参阅 BitLocker：如何启用网络解锁。

是的，加密文件系统 (EFS) 可用于加密受 BitLocker 保护的驱动器上的文件。 BitLocker 有助于保护整个操作系统驱动器免受脱机攻击，而 EFS 可以提供额外的基于用户的文件级别加密，以便在同一台计算机的多个用户之间进行安全隔离。 EFS 还可用于在 Windows 中加密未由 BitLocker 加密的其他驱动器上的文件。 EFS 的根机密默认存储在操作系统驱动器上;因此，如果为操作系统驱动器启用了 BitLocker，则其他驱动器上由 EFS 加密的数据也会间接受到 BitLocker 的保护。

是。 不过，应先打开调试程序，然后再启用 BitLocker。 打开调试程序可确保在密封到 TPM 时，将计算正确的度量值，从而允许计算机正常启动。 如果在使用 BitLocker 时需要打开或关闭调试，请确保先挂起 BitLocker，以避免将计算机置于恢复模式。

BitLocker 的存储驱动程序堆栈可确保在启用 BitLocker 时加密内存转储。

BitLocker 不支持智能卡进行预启动身份验证。 固件中没有单一的智能卡支持行业标准，大多数计算机要么不实现智能卡的固件支持，要么仅支持特定的智能卡和读卡器。 这种缺乏标准化使得支持它们变得困难。

Microsoft 不支持非 Microsoft TPM 驱动程序，强烈建议不要将它们与 BitLocker 一起使用。 尝试将非 Microsoft TPM 驱动程序与 BitLocker 配合使用可能会导致 BitLocker 报告计算机上不存在 TPM，并且不允许将 TPM 与 BitLocker 一起使用。

出于多种安全性、可靠性和产品支持原因，不建议修改操作系统驱动器受 BitLocker 保护的计算机的主启动记录。 更改主启动记录 (MBR) 可能会更改安全环境并阻止计算机正常启动，并使从损坏的 MBR 中恢复的任何工作复杂化。 通过 Windows 之外的任何内容来对 MBR 进行更改可能会强制计算机进入恢复模式或阻止其完全启动。

系统检查旨在确保计算机的 BIOS 或 UEFI 固件与 BitLocker 兼容，并且 TPM 正常工作。 系统检查失败可能由于以下几种原因：

某些计算机无法在预启动环境中读取 U 盘。 首先，检查 BIOS 或 UEFI 固件和启动设置，以确保启用 USB 驱动器的使用。 如果未启用，请在 BIOS 或 UEFI 固件和启动设置中启用 USB 驱动器，然后再次尝试从 U 盘读取恢复密钥。 如果 USB 闪存驱动器仍无法读取，则需要将硬盘驱动器作为数据驱动器装载到另一台计算机上，以便有操作系统尝试从 USB 闪存驱动器读取恢复密钥。 如果 U 盘已损坏或损坏，可能需要提供恢复密码或使用备份到 AD DS 的恢复信息。 此外，如果在预启动环境中使用恢复密钥，请确保使用 NTFS、FAT16 或 FAT32 文件系统格式化驱动器。

默认情况下，可移动驱动器不会显示 “保存到 USB ”选项。 如果该选项不可用，这意味着系统管理员不允许使用恢复密钥。

固定数据驱动器的自动解锁要求操作系统驱动器也受 BitLocker 保护。 如果正在使用的计算机没有受 BitLocker 保护的操作系统驱动器，则固定驱动器无法自动解锁。 对于可移动数据驱动器，可以通过在 Windows 资源管理器中右键单击驱动器并选择“ 管理 BitLocker”来添加自动解锁。 打开 BitLocker 时提供的密码或智能卡凭据仍可用于解锁其他计算机上的可移动驱动器。

在安全模式下只能使用有限的 BitLocker 功能。 通过使用 BitLocker 驱动器加密控制面板项目，可以对受 BitLocker 保护的驱动器进行解锁和解密。 右键单击以从 Windows 资源管理器访问 BitLocker 选项在安全模式下不可用。

可以使用 Manage-bde 命令行工具和 -lock 命令锁定固定和可移动数据驱动器。

注意

在锁定之前，请确保所有数据都保存到驱动器。 一旦锁定，该驱动器将无法访问。

此命令的语法为：

除了使用此命令以外，关闭和重启操作系统时将锁定数据驱动器。 从计算机删除可移动数据驱动器时，该驱动器也将自动锁定。

是。 但是，当在软件加密驱动器上启用 BitLocker 时，在启动 BitLocker 之前所做的卷影副本将自动删除。 如果使用硬件加密驱动器，则保留卷影副本。

只要环境 (物理或虚拟) 满足 Windows 操作系统要求才能运行，BitLocker 就应与其硬件限制内的任何特定物理计算机一样工作。

如果运行 Windows 10、Windows 8.1、Windows 8、Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012，则数据卷 VHD（例如群集使用的 VHD）也支持 BitLocker。

可以。 密码保护程序和虚拟 TPM 可与 BitLocker 结合使用，以保护虚拟机。 VM 可以通过设置>帐户>访问工作或学校>Connect) 来接收策略，加入域、加入 Azure AD 或加入工作区 (。 可以在创建 VM 时启用加密，也可以使用其他现有管理工具（例如 BitLocker CSP），甚至可以通过使用组策略提供的启动脚本或登录脚本来启用加密。 Windows Server 2016 还支持受防护的 VM 和受保护的结构，以防止恶意管理员使用 VM。