术语表
BitLocker 是什么 — 用 Windows 磁盘加密,在设备被盗或丢失时保护数据
BitLocker 是 Windows 内置的磁盘加密功能。启用后,即使你的电脑或被拔出的驱动器被偷走,没有你的凭据或恢复密钥也无法读取里面的内容。本文从防御视角讲解它的原理、启用步骤,以及最容易踩坑的『恢复密钥的保管』注意事项。
「笔记本电脑掉了/被偷了——里面的数据没事吧?」。为这种情况做准备的,就是 BitLocker。本文讲解它的原理、启用步骤,以及最容易踩的坑。
它保护什么,不保护什么
加密并非万能。要正确把握它在哪些场景生效。
| 情形 | BitLocker 有效吗? |
|---|---|
| 笔记本电脑丢失/被盗(关机状态) | ◎ 内容是密文。没有凭据/恢复密钥无法读取 |
| 只拔出硬盘接到另一台电脑 | ◎ 同上。物理带走也没用 |
| 已登录、使用中的电脑被偷看/被操作 | ✗ 不保护(→ 属于强登录+自动锁定的范畴) |
| 恶意软件感染、钓鱼 | ✗ 不保护(需要另外的对策) |
原理(大致)
密钥由 TPM(电脑的安全芯片)持有,并与硬件的完整性绑定,在开机时解锁。想要更强,可以设置成开机时要求输入 PIN。
最大的坑:恢复密钥的保管
使用 BitLocker 真正会遇到的麻烦,与其说是「被破解」,不如说是把自己锁在门外。
一旦丢失恢复密钥,你自己的数据将永远打不开
TPM 状态变化、更换主板、固件更新等情况下,BitLocker 可能会要求输入48 位的恢复密钥。如果你没有备份它,作为正当所有者的你就会被锁在自己的数据之外。保管的铁律是「放在加密电脑的『外部』」——只存在同一台电脑里,在被锁定时是取不出来的。
启用步骤
确认版本
启用,并把恢复密钥存到『外部』
想更强就要求输入 PIN
移动硬盘/U 盘用 BitLocker To Go
本站的视角:随身携带设备的『地板』级对策
对要带出门的设备来说,磁盘加密是最低限度的地板(理所当然的地基)。笔记本电脑里塞满了保存的密码、SSH 密钥、业务文件等「一旦泄露就会连锁的」东西。如果没有加密,一旦被偷,硬盘当场就会被拔出来全部读走。启用 BitLocker(Mac 则是 FileVault),并把恢复密钥备份到电脑外部——仅这两点,就能把丢失、被盗的损失缩小到「只是丢了一台硬件」。但加密守的是『关机状态』,所以请务必与强登录+自动锁定搭配使用。
接下来读
- 随身携带:带笔记本电脑出门时的安全对策
- 盘点:安全盘点(检查放了密钥的电脑)
- 保管:如何选择密码管理器
- 对比:BitLocker 与设备加密的区别
FAQ
QBitLocker 能防住什么?
它保护处于关机状态、或驱动器被物理拔出状态下的数据(静态数据)。即使笔记本电脑被偷、或只有硬盘被拔走,没有你的凭据或恢复密钥,里面的内容仍是密文,无法读取。但它无法保护已经登录、正在使用中的电脑(这种情况要靠强登录和自动锁定)。
Q最需要注意的是什么?
恢复密钥(48 位数字)的保管。BitLocker 会把密钥与硬件状态绑定,因此 TPM 状态变化、更换主板等情况下可能会要求输入恢复密钥。一旦丢失,作为正当所有者的你会被锁在自己的数据之外。务必把它备份到加密电脑的『外部』——Microsoft 账户、打印出来、或另一个安全的地方。
QWindows Home 也能用吗?
BitLocker 本体面向 Windows Pro/Enterprise/Education。Windows Home 上有一个轻量版叫『设备加密』,在受支持的硬件上会自动启用,理念相同(对静态数据加密)。Mac 上的对应功能是 FileVault。