BitLocker 概述和要求常见问题解答 (Windows 10)

BitLocker 如何与操作系统驱动器协同工作

BitLocker 可用于通过加密操作系统驱动器上的所有用户文件和系统文件（包括交换文件和休眠文件）以及检查早期启动组件和启动配置数据的完整性来缓解丢失或被盗计算机上的未经授权的数据访问。

BitLocker 如何与固定和可移动数据驱动器协同工作

BitLocker 可用于加密数据驱动器的整个内容。 组策略可用于要求在驱动器上启用 BitLocker，然后计算机才能将数据写入驱动器。 可以使用数据驱动器的各种解锁方法配置 BitLocker，并且数据驱动器支持多种解锁方法。

是，BitLocker 支持针对操作系统驱动器的多重身份验证。 如果在具有 TPM 版本 1.2 或更高版本的计算机上启用了 BitLocker，则可以将其他形式的身份验证与 TPM 保护一起使用。

有关要求，请参阅系统要求。

注意

BitLocker 不支持动态磁盘。 动态数据卷不会显示在控制面板中。 尽管操作系统卷将始终显示在控制面板中，无论它是否是动态磁盘，如果它是动态磁盘，则不能受到 BitLocker 的保护。

之所以需要两个分区运行 BitLocker，是因为预启动身份验证和系统完整性验证必须出现在加密操作系统驱动器中的独立分区上。 此配置有助于保护加密驱动器中的操作系统和信息。

BitLocker 支持 TPM 版本 1.2 或更高版本。 对 TPM 2.0 的 BitLocker 支持需要设备的统一可扩展固件接口 (UEFI) 。

注意

BIOS 的旧版和 CSM 模式不支持 TPM 2.0。 具有 TPM 2.0 的设备必须仅将其 BIOS 模式配置为本机 UEFI。 必须禁用旧版和兼容性支持模块 (CSM) 选项。 为了提高安全性，请启用安全启动功能。

如果 BIOS 模式更改为 UEFI，旧版模式中硬件上安装的操作系统将阻止操作系统启动。 在更改 BIOS 模式之前，请使用 MBR2GPT 工具，该模式将准备 OS 和磁盘以支持 UEFI。

从 Windows 10 版本 1803 开始，可以在安全中心>设备安全>处理器详细信息Windows Defender检查 TPM 状态。 在早期版本的 Windows 中，打开 TPM MMC 控制台 (tpm.msc) ，然后在 “状态” 标题下查看。 Get-TPM** 也可以在 PowerShell 中运行，以获取有关当前计算机上的 TPM 的更多详细信息。

是的，如果 BIOS 或 UEFI 固件能够在启动环境中的 USB 闪存驱动器读取数据，则可以在没有 TPM 版本 1.2 或更高版本的操作系统驱动器上启用 BitLocker。 在计算机的 TPM 或包含该计算机的 BitLocker 启动密钥的 USB 闪存驱动器首次释放 BitLocker 自己的卷主密钥之前，BitLocker 不会解锁受保护的驱动器。 但是，没有 TPM 的计算机将无法使用 BitLocker 还可以提供的系统完整性验证。 若要帮助确定计算机在启动过程中是否能够从 USB 设备读取数据，请将 BitLocker 系统检查用作 BitLocker 安装过程的一部分。 此系统检查会执行测试以确认计算机在适当的时间是否能够从 USB 设备正确地读取数据，并验证计算机是否满足其他 BitLocker 要求。

联系计算机制造商以请求满足以下要求的受信任的计算组 (TCG) 兼容的 BIOS 或 UEFI 启动固件：

若要在操作系统和固定数据驱动器上打开、关闭或更改 BitLocker 的配置，需要具有本地管理员组中的成员资格。 标准用户可以打开、关闭或更改可移动数据驱动器上的 BitLocker 的配置。

计算机的启动选项应配置为先在启动顺序中具有硬盘驱动器，然后再使用任何其他驱动器（如 CD/DVD 驱动器或 U 盘）。 如果硬盘不是第一个，并且计算机通常从硬盘启动，则在启动期间找到可移动媒体时，可能会检测到或假定启动顺序更改。 启动顺序通常影响 BitLocker 验证的系统度量，启动顺序的更改将导致提示输入 BitLocker 恢复密钥。 出于同样的原因，如果笔记本电脑与扩展坞一起使用，请确保硬盘驱动器在连接和取消停靠时都处于启动顺序的第一位。