安全指南
BitLocker 与「设备加密」的区别 —— 同一技术的完整版与自动·简易版
Windows 的 BitLocker 和「设备加密」是两回事吗?——它们的底层是同一套加密技术,但设备加密是 Home 也能用的『自动·简易版』,BitLocker 则是 Pro 及以上的『完整功能版』。本文从防御视角梳理两者在版本、自动化、设置项、恢复密钥上的区别,教你判断自己的 PC 用的是哪一个,以及用哪个就够。
「BitLocker,和设置里出现的『设备加密』,是两个不同的东西吗?」——这是个常见疑问,本文来回答它。先把结论放在前面:底层是同一套技术,不同的只是打包方式。这里不涉及攻击手法。
同一底层,不同打包
自动·简易(Home 可用)
完整控制(Pro 及以上)
一览两者的区别
| 维度 | 设备加密 | BitLocker |
|---|---|---|
| 适用版本 | Home 也可用 | Pro / Enterprise / Education |
| 启用方式 | 满足条件即自动(微软账户) | 自己手动启用·设置 |
| 设置项 | 极少(基本全托管) | 丰富(方式·对象·运维) |
| 启动 PIN | 基本没有 | 可设置(提升防盗强度) |
| 外接/USB 加密 | 不支持 | 可用 BitLocker To Go |
| 恢复密钥的保存 | 自动备份到微软账户 | 保存位置自己选 |
| 管理命令 | 几乎没有 | 用 manage-bde 做详细管理 |
| 加密的效果(本质) | 相同(保护静态数据) | 相同 |
我的 PC 是哪一种?确认方法
在设置里找『设备加密』
Pro 及以上看『管理 BitLocker』
用命令查看状态
manage-bde -status。是否加密、采用的方式、保护状态都会一览显示。务必确认恢复密钥在哪
用哪个就够?
多数个人场景下设备加密就够
- 目的是「失窃·丢失时不让别人读到里面的内容」
- 只要自动开启,那个最关键的效果就已经拿到了
- 首要任务是先做到处于已加密状态
需要 BitLocker(Pro)的场景
- 想用启动 PIN 提升防盗强度
- 想把外接/USB 也加密(To Go)
- 想对方式·运维做精细管理
也许早已在不知情中被加密了=立刻确认恢复密钥在哪
近来的 Windows,越来越多支持的 Home PC 在初次设置时就会自动开启『设备加密』。方便归方便,但「没意识到已经被加密」的话,一旦 TPM 状态发生变化或更换硬件,就可能被要求输入恢复密钥而把自己挡在门外。请趁现在确认:恢复密钥是否已备份到微软账户(或存在另一个安全的地方)。
本站的观点:比起产品名,更要看『状态』
「是 BitLocker 还是设备加密」,对个人而言并非本质。重要的只有两点——①静态数据已被加密 ②你清楚恢复密钥在 PC 之外的何处。只要做到这个状态,叫什么名字都好,失窃·丢失的损失就能缩小到「只是丢了块硬件」。反过来,哪怕用的是完整功能的 BitLocker,一旦丢了恢复密钥,照样会把自己锁在门外。本站建议养成的习惯,不是去记「功能的名字」,而是去确认「此刻我的 PC 处于什么状态(是否已加密·有没有恢复密钥)」。
接着读
- 术语:什么是 BitLocker(磁盘加密)
- 随身携带:携带笔记本电脑外出时的安全对策
- 盘点:安全盘点清单
FAQ
QBitLocker 和设备加密是两回事吗?
底层是同一套。「设备加密」内部使用的就是和 BitLocker 相同的加密技术,只是把它自动化、简化成 Windows Home 也能用的形式。区别在于打包方式和管理功能:设备加密在用微软账户登录后会自动启用、设置项极少;而 BitLocker(Pro/Enterprise/Education)可以做启动 PIN、外接驱动器加密(BitLocker To Go)等更精细的控制。
QWindows Home 也能做磁盘加密吗?
可以。在支持的硬件(如 TPM)上,只要用微软账户登录,就能使用「设备加密」(多数情况下会自动开启)。完整功能的 BitLocker 管理界面需要 Pro 及以上,但把静态数据变成密文这个最关键的效果,Home 的设备加密同样能拿到。
Q怎么确认自己的 PC 是用哪一种加密的?
在设置里搜索,如果出现「设备加密」,那用的就是它。Pro 及以上在搜索里打开「管理 BitLocker」即可看到各驱动器的状态。要用命令,就在管理员权限的终端里执行 manage-bde -status,便能看出是否加密以及采用的方式。无论哪种,关键都是:确实处于已加密状态,并且清楚恢复密钥存放在哪里。