對于一般人來講，全盤加密也許并不必要；然而，如果你需要處理像商業(yè)機密和不希望被其他人看見的隱私的話，那么全盤加密就顯得很有必要了。

1、淘汰舊電腦的時候，舊電腦硬盤上遺留的機密數(shù)據不會被有心人士挖掘出來并公之于眾；

2、只要加密強度設置地足夠高，無論是執(zhí)法人員還是那些企圖盜取數(shù)據的不法分子都無法獲取他們想要的數(shù)據。

UEFI啟動方式：BitLocker加密。某些設備像Surface系列出廠就默認開啟了，這里討論的是那些默認不開啟的電腦。

Legacy啟動方式：使用開源加密軟件，如VeraCrypt（TrueCrypt的分支項目）。

當然，只要滿足一定條件，Legacy啟動方式下也可以使用BitLocker加密。

首先，介紹BitLocker加密如何操作。BitLocker加密功能不適用于家庭版的Windows Vista/7/8/8.1/10。

BitLocker加密最好在至少Windows 8專業(yè)版或企業(yè)版下完成，這里使用Windows 10專業(yè)版來演示。

理論上講Windows Vista商業(yè)版/企業(yè)版/旗艦版、Windows 7專業(yè)版/企業(yè)版/旗艦版、WES7也可以BitLocker全盤加密，但是無法在開機輸入普通的解密密碼解密，只能使用TPM芯片、密鑰盤和難以記憶的恢復密鑰來解密。

在系統(tǒng)盤按鼠標右鍵，選擇啟用BitLocker。

相信絕大多數(shù)人的電腦都沒有TPM芯片，會收到這個提示。

商用級別的電腦一般會具備TPM芯片，可以正常進行步驟。

將它關閉，運行組策略管理器（gpedit.msc）。

依次展開計算機配置下的“管理模板”、“Windows組件”、“BitLocker驅動器加密”、“操作系統(tǒng)驅動器”。

打開“啟動時需要附加身份驗證”。

將其配置成“已啟用”，并開啟“沒有兼容的TPM時允許BitLocker”。

如果你的電腦有TPM芯片但不想利用硬件自帶的TPM芯片來實現(xiàn)開機自動解密，那么將配置TPM啟動改成“不允許TPM”，其余保持默認，確定。

如果你想提高加密的安全性，依次展開計算機配置下的“管理模板”、“Windows組件”、“BitLocker驅動器加密”，里面有“選擇驅動器加密方法和密碼長度”。

對于Windows Vista到Windows 10首個正式版，建議選擇AES 256位。

對于Windows 10版本1511（TH2）和以上版本，建議按照下圖配置。

修改成256位加密之后，加密所需時間可能會比使用128位加密更長，但是為了獲取更高的安全性，這是十分值得的。

這個時候應該就可以加密了。

可能會出現(xiàn)這個提示，不用管。

執(zhí)行到這個步驟的時候，系統(tǒng)會問你是打算利用U盤解密還是輸入密碼解密。

我個人比較推薦使用密碼來解密。

輸入一個強密碼，這個步驟不用我多說了，越復雜越好，越沒規(guī)律越好，不要設置成你的生日，手機號之類的簡單密碼。

最后系統(tǒng)會問你將恢復密鑰保存到哪里。

如果使用的是Windows 8或以上版本，你可以保存到微軟賬戶上。你也可以保存到U盤上或者是移動硬盤上，或者是打印下來（不推薦）。

刪除恢復密鑰，就等于切斷了你救回數(shù)據的重要途徑。

如果使用的是Windows 8或以上版本，系統(tǒng)會問你是加密已使用空間還是整個驅動器。

如果是一塊剛剛裝好系統(tǒng)的全新硬盤，此前沒有接觸過任何機密數(shù)據，那么使用僅加密已用磁盤空間即可，可以大幅節(jié)省加密所需的時間。

但如果以前有接觸過且此前確實沒特地擦除過機密數(shù)據，那么使用加密整個驅動器是最穩(wěn)妥的。

這里我們使用“加密整個驅動器”。

系統(tǒng)右下角會提示你準備重啟電腦，點開之后，點“立即重新啟動”。

重啟之后，將你前面設置的密碼照著輸入一遍，然后回車進入系統(tǒng)。

重啟回到系統(tǒng)之后，系統(tǒng)就會自動對系統(tǒng)盤進行加密處理。

如果你用的不是Administrator賬號，你是看不到系統(tǒng)盤加密進度的。這種情況下，你可以利用管理員命令提示符或是PowerShell執(zhí)行manage-bde -status命令來查看加密進度。

這個時候，你可以繼續(xù)加密其它非系統(tǒng)盤或U盤，這個加密過程可以實時看到。

加密非系統(tǒng)盤的界面和加密系統(tǒng)盤的界面有一定區(qū)別，少了一些步驟。

不過我相信你們應該都知道怎么操作了。

你還可以打開BitLocker驅動器加密管理（在Cortana搜索框可以輕易調出），在里面開啟非系統(tǒng)盤自動解鎖。但是，開啟這個功能的前提是系統(tǒng)盤必須要開啟BitLocker加密。

由于加密過程十分漫長，系統(tǒng)支持在加密的過程中暫停加密，等時間允許之后再來完全加密。

Legacy啟動方式使用BitLocker全盤加密的一個基本要求是，啟動文件必須放在一個單獨的分區(qū)里，也就是系統(tǒng)保留分區(qū)，這樣才可以BitLocker全盤加密。如果是使用原版安裝鏡像安裝的Windows且確實保留了系統(tǒng)保留分區(qū)，那么一般是符合這個條件的。

不知道的話，可以打開磁盤管理（diskmgmt.msc）檢查是否有系統(tǒng)保留分區(qū)。

以后每次開機，都會見到這個BitLocker加密輸入密碼的提示。

一些PE可以支持對BitLocker分區(qū)的訪問，例如Windows原版安裝鏡像附帶的WinPE，以及光卡所制作的Hikari PE，這么一來就可以在需要重裝系統(tǒng)的時候轉移你需要轉移的數(shù)據。

以使用Windows原版安裝鏡像附帶的WinPE為例，從安裝鏡像啟動，進入系統(tǒng)安裝界面之后，按下Shift+F10來調出命令提示符。如果我們要解密C盤，輸入這個命令：

manage-bde -unlock C: -pw

執(zhí)行之后，輸入解密密碼，然后就可以訪問加密分區(qū)了。

如果是要使用恢復密鑰解密，那么命令就是：

manage-bde -unlock C: -recoverypassword XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

上述命令中的“XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX”就是恢復密鑰。

進行加密會使硬盤的寫入速度降低一些，不過為了更穩(wěn)妥的安全性，即便損失一點寫入速度也是比較值得的。

如果你想解除BitLocker加密，你可以在BitLocker管理界面關閉BitLocker。建議先關閉數(shù)據盤的BitLocker后關閉系統(tǒng)盤的BitLocker。

如果你使用的是Windows XP、Windows Vista、Windows 7或使用Legacy啟動方式的Windows 8及以上版本，那么你還可以使用第三方加密工具，例如VeraCrypt。

TrueCrypt 7.1a也可以使用，兩者的使用方法大同小異。

VeraCrypt可在這里下載：https://www.veracrypt.fr/en/Downloads.html

TrueCrypt可在這里下載：https://truecrypt.ch/downloads/

首次啟動，如果需要改成中文，你可以在Settings–Language里改成簡體中文。

點“系統(tǒng)”里的加密系統(tǒng)分區(qū)/驅動器。

然后下一步，你可以根據你的實際情況選擇是加密系統(tǒng)盤還是全部分區(qū)。一般情況下，建議選擇“加密整個硬盤驅動器”。

加密主機保護區(qū)域，如果你的硬盤確實弄的很復雜，比如組了RAID，那么請選擇否。如果只有一塊硬盤，那么選擇“是”。

是否加密多個系統(tǒng)，這里請根據實際情況選擇，一般情況下選擇“單系統(tǒng)”。

加密算法，一般情況下保持默認即可，無需改動。

這個步驟設置一個足夠長的密碼，如果少于20個字符，下一步之前它會警告。這里為了演示，使用了一個16字符的密碼。

到了這個階段，就是產生加密所需隨機數(shù)值的過程。你需要將鼠標在這個窗口內隨意移動，最好是移動到進度條填滿為止。

然后就可以下一步，你可以看到你的首密鑰和主密鑰。這個你可以勾上下面的選項來記下來，也可以不用記下來。

接下來就是制作應急盤的過程。將應急盤鏡像做出來之后，單獨復制出來一份保存。

接下來到了擦除空閑空間的步驟。

如果是一塊從未接觸過機密數(shù)據的硬盤，可以不用擦除，直接進行下一步。

如果接觸過機密數(shù)據，一般選擇7次擦除。不放心的話可以使用Gutmann的35次擦除。

需要注意的是，固態(tài)硬盤不能使用此方法擦除數(shù)據，應改為使用廠商提供的安全擦除法。

接下來就是啟動預測試，點測試，看清楚使用說明之后，重啟電腦。

重啟之后，你應當會進入這樣的界面。

輸入密碼并回車，在系統(tǒng)詢問PIM值的時候，直接按回車鍵即可。

驗證過程需要等待一會兒，然后就進入系統(tǒng)了。

進入系統(tǒng)之后，系統(tǒng)會提示加密完成，只需要點Encrypt正式開始加密即可。

加密完成需要花一些時間，你可以隨時點旁邊的Pause暫停加密。

你還可以在VeraCrypt主界面里進入“設置”，“系統(tǒng)加密”，在這里所說的勾選隱藏系統(tǒng)加密的提示和PIM值要求。如果愿意的話還可以顯示自定義信息。

在這個例子中，我們將啟動時的提示改成IPC Corporation Loader，這樣開機的時候就會卡在這個提示下。

你在這個提示下照常輸入密碼然后按下回車鍵，等大概40秒（以這個情況為例）即可進入系統(tǒng)。如果覺得比較慢，可以解密之后改用TrueCrypt加密。

下面來說一下如何使用急救盤以及解除VeraCrypt/TrueCrypt加密。

在TrueCrypt啟動程序損壞的時候，從急救盤啟動，然后就像之前驗證那樣把密碼輸入一遍。

而解密的話，只需要進入系統(tǒng)之后，點“永久解密系統(tǒng)分區(qū)/驅動器”即可。

無論是哪種加密途徑，要說明的幾個注意事項：

1、一定要設置一個開機密碼，不用電腦的時候將電腦鎖定；

2、如果電腦有1394接口，一定要禁用掉，并在組策略禁止1394設備的安裝防止有心人士加裝1394擴展卡。因為IEEE1394可以直接訪問內存，只要在系統(tǒng)登錄界面下，拿出另一臺電腦，用火線將兩臺電腦連接起來，通過某些工具直接將整個內存做一個鏡像，然后從內存讀取解密密碼，剩下的就不用多說了。這個操作就是所謂的“火線攻擊”（Firewire Attack）。禁用1394接口帶來的影響，就是使用1394接口的外設全部無法使用。不過我想現(xiàn)在應該沒幾個人還在用1394接口傳輸數(shù)據了吧；

3、不要將密碼存在不安全的地方，例如寫在一張紙條放在電腦旁邊，這跟沒加密沒區(qū)別了。加密的意義就是要防止有心人士獲取不想被其他人獲取的數(shù)據。

4、無論是哪種加密方式，都會對硬盤的性能帶來一定影響。如果這個電腦不拿來進行機密文件的處理，就是拿來日常娛樂，那么全盤加密是毫無必要的。

對于Windows平臺，這里我介紹兩種全盤加密方法

全盤加密的意義有以下兩個

最新評論