如何在 Windows 中启用和禁用带 TPM 的 BitLocker

Summary: Windows BitLocker 已成为使用 Windows 加密和保护数据的用户的解决方案。下面介绍如何使用标准方法启用和禁用 BitLocker。我们不讨论使用 USB 作为可信平台模块（TPM）替代品，也不讨论高级功能的组策略更改。域级别组策略更改和网络管理的 BitLocker 设置是尽力而为的服务，它们不在支持范围内。支持的配置仅限于单台计算机和本地管理的 BitLocker 设置。 ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Instructions

在 Windows 10 和 Windows 11 中启用和禁用 BitLocker

Windows BitLocker 已成为保护数据安全的解决方案。下面介绍如何使用标准方法启用和禁用 BitLocker。

本文不讨论使用 USB 作为 TPM 替代物，也不讨论针对高级功能的组策略更改。域级别组策略更改和网络管理的 BitLocker 设置是尽力而为的服务，它们不在支持范围内。支持的配置仅限于单台计算机和本地管理的 BitLocker 设置。

提醒：采用 Skylake 芯片组的产品需要特定的设置才能使 BitLocker 正常工作。如果 Skylake 计算机即使采用以下设置仍提示需要恢复密钥，请确保 BIOS 是最新版本。

在传统启动模式下配置的所有操作系统都必须使用 TPM 1.2。建议将 BIOS 更新到最新版本。
在 UEFI 启动模式下配置的所有操作系统既可以使用 TPM 1.2，也可以使用 TPM 2.0。建议将 BIOS 更新到最新版本。
例外情况是 Latitude 5175 和 Latitude 7275，它们都只有 TPM 2.0，而不能降级到 1.2。

提醒：有关完整的最新要求，请参阅 Microsoft 的 BitLocker 要求

启用 TPM

提醒：确保在开启 TPM 后将其激活或启用（如果该选项存在的话）。开启 TPM 不会自动使它能够与操作系统通信。有必要启用 TPM，让操作系统取得 TPM 芯片组的所有权来存储加密密钥。

开启计算机。
当计算机执行开机自检时，按热键（通常是 F2 或 Delete 键）以进入 BIOS。
进入 BIOS 后，找到用于配置 安全性的部分。
在“Security”部分中，找到 TPM 选项。
选择左侧的 TPM 2.0 或 1.2 部分。
选中右侧的 TPM 方框以开启 TPM。
在开启 TPM 后，选择用于激活或启用 TPM 的选项
激活并启用 TPM 后，单击 Save changes and Exit，以便保存更改并退出 BIOS。

返回页首

在操作系统中启用 BitLocker

Windows BitLocker 如何启用和禁用。

观看此视频，了解如何在 Windows 中启用或禁用 BitLocker。

持续时间：01：39
可用时，可以使用此视频播放器上的“设置”或“CC”图标选择隐藏式字幕（字幕）语言设置。

开启计算机。
按照正常方式登录到操作系统。
通过以下方式之一进入 BitLocker 管理部分：
Windows 10 和 Windows 11
1. 开始菜单路径。
  1. 单击 Windows 开始菜单按钮。
  2. 在搜索框中键入： Manage BitLocker
  3. 按 Enter 键或单击列表中的管理 BitLocker 图标。
2. 控制面板路径
  1. 单击 Windows 开始菜单按钮。
  2. 单击 控制面板。
  3. 单击“System and Security（系统和安全性）”。
  4. 单击 BitLocker 驱动器加密下的任意选项。
3. 硬盘路径
  1. 打开计算机或我的电脑
    - 或者，单击文件资源管理器图标并选择您的计算机。
  2. 选择加密:\（或 Windows 计算机）驱动器。
  3. 右键单击您选择的驱动器。
  4. 单击开启 BitLocker。
    提醒：这将跳过初始 BitLocker 屏幕。
4. 应用程序屏幕路径
  1. 单击 Windows 开始菜单按钮。
  2. 打开搜索框 Manage BitLocker。
  3. 按 Enter 键或单击列表中的管理 BitLocker 图标。
5. 控制面板路径
  1. 单击 Windows 开始菜单按钮。
  2. 打开搜索框，键入 Control Panel。
  3. 在“控制面板”窗口中，单击系统和安全或搜索 BitLocker。
  4. 单击 BitLocker 驱动器加密下的任意选项。
6. 硬盘路径
  1. 打开计算机或我的电脑
    - 或者，单击文件资源管理器图标并选择您的计算机。
  2. 选择 C:\（或 Windows 计算机）驱动器。
  3. 右键单击您选择的驱动器。
  4. 单击开启 BitLocker。
    提醒：这将跳过初始 BitLocker 屏幕。
7. 开始菜单路径。
  1. 单击 Windows 开始菜单按钮。
  2. Windows 10：在搜索框中，键入： Manage BitLocker
    Windows 11：在搜索框中，键入： Device Encryption
  3. 按 Enter 键或单击列表中的管理 BitLocker 图标。
8. 控制面板路径
  1. 右键单击 Windows 开始菜单按钮。
  2. 单击 控制面板。
  3. 单击“System and Security（系统和安全性）”。
  4. 单击 BitLocker 驱动器加密下的任意选项。
9. 设置路径
  1. 单击 Windows 开始菜单按钮。
  2. 单击设置图标。
  3. 在搜索框中键入： Manage BitLocker
  4. 按 Enter 键或单击列表中的管理 BitLocker 图标。
10. 硬盘路径
  1. 打开计算机或我的电脑
  2. 选择 C:\（或 Windows 计算机）驱动器。
  3. 右键单击您选择的驱动器。
  4. 单击开启 BitLocker。
    提醒：这将跳过初始 BitLocker 屏幕。
在“BitLocker 管理”屏幕中，单击启用 BitLocker。

BitLocker 将经历简短的初始化过程。

选择用于保存恢复密钥的三个选项之一。

注意：此密钥必须保存在安全位置。如果需要访问驱动器，则这是用来访问驱动器的恢复密钥。如果密钥丢失，则无法从锁定的驱动器恢复数据，并且必须重新安装操作系统。此密钥对于每台计算机都是唯一的，并且仅适用于它被创建用于的目标计算机。

将密钥保存在安全的位置

保存密码文件后，单击 下一步。
选择其中一个卷加密选项。
1. 加密整个硬盘。
  - 这会加密硬盘上的所有空间，而不管它是否已使用。处理加密需要较长时间。
2. 对已用空间进行加密。
  - 这只会在硬盘上填充数据时对空间进行加密，而保留空闲空间不加密。这是首选的基本加密方法，因为它较快。
选择加密选项后，单击 下一步。
如果出现加密类型选择，请选择要使用的加密类型。
- 新模式是适合新计算机的首选加密方法。
单击下一步
选中标有“运行 BitLocker 系统检查”的复选框。
单击继续
验证设置后重新启动计算机以开始加密。

提醒：加密可能需要 20 分钟到几个小时，具体取决于加密的数据量、计算机的速度以及计算机是否关闭或进入睡眠状态会中断该过程。直到计算机重新启动后，BitLocker 加密才会开始。如果有工作必须完成，安全的做法是完成工作并保存，然后再重新启动。