数据加密至关重要。无论你是使用雇主提供的电脑还是使用自己的个人电脑,加密技术都能确保小偷和任何可能接触到你电脑的人都无法查看任何敏感的私人数据。
在Windows电脑上,存储加密可能很复杂。本指南将告诉你你需要知道的一切,包括传统的BitLocker加密和新的“设备加密”之间的区别,如何确保你的电脑数据是安全的,以及如何加密可移动设备-以防万一。
我还将解释您需要了解的从BitLocker加密错误中恢复的内容。当CrowdStrike崩溃时,许多人启动电脑时,只看到一个蓝屏,需要BitLocker恢复密钥。希望这不会发生在你身上。万一真的发生了,你应该做好准备。
想要更多Windows PC的技巧吗?来看看我免费的Windows智能通讯,每周五有三个新东西可以尝试,还有一本免费的深入Windows领域指南电子书(价值10美元)。
BitLocker是微软的存储加密技术。它最初是在Windows Vista中引入的,今天仍然是Windows 11和Windows 10的一部分。BitLocker旨在加密整个卷。换句话说,BitLocker旨在加密硬盘驱动器上的整个分区。
激活后,BitLocker以加密的方式将您PC上的文件存储在磁盘上。你可以把它们想象成以一种“混乱”的形式存储——小偷不可能把你电脑的存储驱动器拿出来就能访问你的文件。他们需要加密密钥才能访问。
BitLocker通常被配置为“透明”模式,在你启动电脑时自动解锁。这将使用计算机中的TPM(可信平台模块)硬件来解锁驱动器。TPM存储加密密钥,只有在Windows操作系统没有被篡改的情况下才提供加密密钥。
这项技术是企业保护公司数据安全的关键途径。这就是为什么企业通常会在他们管理的个人电脑上强制使用BitLocker。但对于个人来说,这也是一种保护个人数据的有效方式。如果有人拿到了你的笔记本电脑,没有密钥他们就无法访问文件。即使他们启动了笔记本电脑,他们也需要登录你的Windows用户帐户才能访问你的文件。
如果你有一个问题与BitLocker,你会被要求提供一个BitLocker恢复密钥。如果你自己安装了BitLocker, Windows会提示你把它存放在安全的地方。如果你通过你的工作场所设置,他们会有一份副本。在某些情况下,副本也会存储在您的微软帐户中。
在Windows 7的日子里,BitLocker只提供专业、企业和教育版本的Windows。运行家庭版Windows的普通个人电脑无法访问内置的存储加密技术。
这在今天看来是正确的。完整版的BitLocker,也被称为BitLocker Drive Encryption,只能在Windows的专业版及更高版本上使用。如果你是个人,想要在你的电脑上使用完整的BitLocker工具集,如果你的电脑带有家庭版,你就必须付费升级到Windows 11的专业版(或Windows 10)。
然而,从Windows 8.1开始,一直到今天的Windows 10和Windows 11,微软开始提供所谓的“设备加密”或“BitLocker设备加密”。这项技术使用了BitLocker。不过,它并没有提供完整的BitLocker配置选项,而且它只有在PC有合适的硬件时才能工作——例如,TPM 2.0芯片,这是Windows 11官方要求的硬件功能之一。
设备加密被设计为在普通的现代个人电脑上“正常工作”。只有当你用微软(Microsoft)账户或工作或学校账户登录Windows时,它才有效。如果你这样做了,Windows会自动激活设备加密(假设你的电脑有合适的硬件),用加密保护你的文件。
因为你已经用微软账户、工作账户或学校账户登录,Windows会将你的BitLocker恢复密钥备份到你的微软账户——或者你的雇主或学校的系统。这确保了普通PC用户将有一种方法来访问他们的恢复密钥,如果他们曾经有一个错误。
对于一般人来说,微软账户的要求是需要注意的。如果您选择使用本地用户帐户登录PC,则无法使用设备加密。为了获得最佳的安全性,你需要用微软账户登录,或者购买专业版的Windows,并使用完整的BitLocker体验。
对于这些方法,您需要使用管理员帐户登录Windows。如果您使用标准用户帐户登录,则可能不会显示这些选项。
要检查Windows 11上的设备加密,打开设置应用程序,选择“隐私与安全”,然后单击“安全”下的“设备加密”。如果设备加密是激活的,它将被设置为“打开”。
在Windows 10上,打开设置应用程序,选择“更新与安全”,然后单击左侧窗格中的“设备加密”。如果设备加密是激活的,你会看到一条消息说“设备加密是开启的”。
如果你在“设置”应用程序中根本没有看到“设备加密”选项,那么你的电脑不支持它——或者你是用标准用户帐户登录Windows的。
您也可以在文件资源管理器中查看。查看“这台电脑”,检查电脑中每个驱动器的图标。如果你在驱动器图标上看到一个挂锁,那么它就已经以某种方式加密了——要么用BitLocker驱动器加密,要么用设备加密。
你可以通过打开经典的控制面板窗口,选择“系统和安全”,然后点击“BitLocker驱动器加密”或“设备加密”来控制BitLocker选项并查看存储设备是否被加密。您将在这里看到两个选项之一,这取决于您的PC使用的是哪种技术。
如果你的电脑拥有完整的BitLocker驱动器加密体验——而不是Windows 11和Windows 10家庭版上的设备加密功能——你也可以加密可移动存储设备。它使用了一个名为“BitLocker To Go”的功能,可以与USB闪存驱动器,SD卡和外部硬盘驱动器一起使用。
打开控制面板,点击“系统和安全”,然后选择“BitLocker驱动器加密”。您将在“可移动数据驱动器”下看到一个加密可移动驱动器的选项。
BitLocker通常应该“正常工作”。大多数人都希望在启动时不会看到BitLocker恢复键蓝屏。然而,CrowdStrike的极端失败导致数百万个人电脑上出现了这个屏幕。它也可能是由硬件问题引起的,或者如果您需要从一台计算机上拉出存储驱动器或在另一台计算机上访问它。
在这种情况下,你需要你的BitLocker恢复密钥。如果你使用雇主或教育机构管理的设备,你的工作或学校系统将备份恢复密钥,你可以向他们请求。
如果你用微软账户登录你的电脑,并且Windows自动启用了设备加密,你需要从微软访问它。访问微软的BitLocker恢复密钥页面,用你的微软账户登录找到它。
如果你自己设置了BitLocker驱动器加密,Windows会提示你保存并存储一个恢复密钥,作为安装过程的一部分。你可能把它打印在一张纸上,或者存储在u盘上。
如果你的电脑工作正常,你也可以在任何时候为你的恢复密钥创建一个备份副本。为此,打开控制面板,点击“系统和安全”,然后选择“BitLocker驱动器加密”或“设备加密”。在此窗口中,您将找到备份每个驱动器恢复密钥副本的链接。
微软有一个详细的指南来找到你的BitLocker恢复密钥。如果你丢失了恢复密钥的所有副本,而你的电脑正在要求它——如果你自己在个人电脑上设置了BitLocker,然后没有打印恢复密钥或丢失了备份副本,就可能发生这种情况——你将无法访问你电脑上的文件。您必须从可能拥有的任何备份中恢复文件。
如果你想加密Windows电脑的存储,但由于某种原因不想使用BitLocker,你可以转向开源替代品。在Windows为现代个人电脑提供内置设备加密功能之前,这种情况更为常见,因为使用家庭版Windows的用户可以使用该软件对其进行加密,而无需付费升级到Windows的专业版。
几年前,TrueCrypt是解决这个问题的首选方案。TrueCrypt项目于2014年关闭,警告称该软件“不安全,因为它可能包含未修复的安全问题”,并建议Windows PC用户切换到BitLocker。
这些所谓的安全问题的性质从未得到充分解释。继任者VeraCrypt继承了该项目的代码并在其基础上进行构建,修复了安全问题并继续开发它。代码已经过独立审计,发现的问题已得到修复。如果您打算在Windows上使用开源驱动器加密工具,您可能应该使用VeraCrypt。
我建议大多数人使用某种形式的BitLocker - BitLocker驱动器加密或设备加密-如果可能的话。BitLocker与Windows集成,应该运行良好。您更有可能遇到数据丢失或其他问题,或者与VeraCrypt等第三方解决方案不兼容。
归根结底,基本的存储加密是任何现代个人电脑的必需品——除非你的台式电脑可能一直锁在安全的办公室里。但一般的笔记本电脑都需要这个功能来保证数据安全。丢失的笔记本电脑不应该成为主要的数据安全问题,无论你使用的是雇主的电脑还是你自己的个人电脑。
所有其他现代平台——Android、ChromeOS、macOS和iOS——都默认提供存储加密功能。有了设备加密功能,Windows 11现在默认为大多数新设备提供加密功能。到2024年秋天,这种情况将更加明显,届时Windows 11的24H2更新将在更多PC硬件配置上启用设备加密功能。
想要更多的Windows分析,通过术语来解释真正重要的是什么?看看我免费的Windows智能通讯吧——每周五我都会给你发三件值得尝试的事情。此外,注册后还可以免费获得Paul Thurrott的Windows 11和Windows 10 Field Guides(价值10美元)。
