Windows 加密

适用对象：Windows 10 和 Windows 11

BitLocker 设备加密在多种设备上受支持，包括符合新型待机标准的设备以及运行 Windows 10 家庭版或 Windows 11 的设备。

关键硬件要求

固件/BIOS

UEFI（适用于统一可扩展固件接口）

启用 S0（新型待机）、禁用 S3（传统）

TPM

可信平台模块 (TPM) 2.0 版

存储

SSD（SATA 和 NVMe）

混合（带 NAND 高速缓存的磁盘轴硬盘）

主轴硬盘（SSHD 或 SSD+HD）

提醒：自加密驱动器 （SED） 在 Windows 10 1709 及更高版本中使用 BitLocker 自动加密。2019 年 9 月 24 日 - KB4516071（操作系统内部版本 16299.1420）(Microsoft.com)

戴尔计算机在出厂时未加密，但遵循 Microsoft 的建议，支持自动设备加密。BitLocker 设备加密

完成 Windows 11 或 Windows 10 的全新安装并完成全新体验 (OOBE) 后，计算机即准备好进行首次使用。作为此准备的一部分，BitLocker 设备加密已在操作系统驱动器和固定数据驱动器上初始化。

检查、暂停和阻止设备加密

检查当前加密状态

以管理员身份打开 PowerShell 或终端窗口，然后键入以下内容：manage-bde -status : (replace with the drive letter, e.g., “C”)

暂停设备加密

Suspend-BitLocker -MountPoint "C:" -RebootCount 0

此命令会暂停由 MountPoint 参数指定的 BitLocker 卷上的 BitLocker 加密。由于 RebootCount 参数值为 0，BitLocker 加密将保持挂起状态，直到您运行 Resume-BitLocker cmdlet。

要恢复设备加密，请使用： Resume-BitLocker -MountPoint "C:"

阻止或禁用设备加密

仅应在维修场景中使用阻止或禁用设备加密。

可以通过更改注册表设置来阻止自动 BitLocker 设备加密过程：

Key

KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

子项

PreventDeviceEncryption

值

True (1)

仅在安装 Windows 之前应用于映像时，修改注册表项才有效。如果要在 OOBE 期间停止加密并永久禁用加密，请使用 Manage-bde Off。

暂停加密和禁用加密之间的区别

暂停提供了快速选项，用于暂时禁用对计算机驱动器的保护，以进行维修。该过程只需几秒钟即可完成，并确保驱动器内容仍然受到保护，未经授权将无法对其访问，但可进行计算机修复/维护。

解密会永久删除保护，并使任何可访问驱动器的人都能访问其内容。此外，驱动器解密非常耗时：Microsoft 估计每 500 MB 的驱动器空间大约需要 1 分钟。设备解密只能在恢复 Windows 映像之前使用。

准备计算机以进行维修

在进行可能触发 BitLocker 恢复密钥的更改之前，请确保在激活 BitLocker 保护之前安全备份恢复密钥。确保可从另一台计算机或电话访问任何备份的恢复密钥：在 Windows 中查找 BitLocker 恢复密钥。

在现场维修计算机或将计算机返回到维修中心之前，应暂停设备加密。在刷新计算机 BIOS 之前以及预计要更换主板或计算机驱动器时，必须暂停设备加密。

提醒：在执行更新之前，戴尔 BIOS 安装程序会自动暂停 BitLocker。

More Information（更多信息）

是什么原因导致 BitLocker 在试图启动操作系统驱动器时启动到恢复模式？

BitLocker 概述和要求常见问题解答

参考：Manage-bde 保护程序

如何在您的 Microsoft 账户中找到 BitLocker 恢复密钥

BitLocker 提示输入恢复密钥，而您找不到密钥

如何在 Windows 中具有 TPM 的情况下启用或禁用 BitLocker

在使用 Windows 10、UEFI 和 TPM 1.2 固件重新启动的情况下 BitLocker 无法开启或提示输入恢复密钥

当BitLocker停止接受恢复密钥时，如何对其解除锁定

返回页首