作為一個從 Windows Vista 開始就內置在系統里的功能，很多人應該都在控制面板或是硬盤圖標上見過 BitLocker 這把「小鎖」。從某種程度上來說，它陪伴 Windows 用戶多年，但一般用戶卻很少去關注過它的實際作用。

Windows 用戶應該都見過 BitLocker 了吧?

因此今天這篇文章我們就來聊聊 BitLocker —— 這個對大多數 Windows 用戶而言「熟悉而又陌生」的加密功能。

BitLocker 是什么?

BitLocker 的核心作用是對 Windows 系統的數據進行全盤加密，和大多數加密手段的目的一樣，它的存在主要是為了阻止別人在未經許可的情況下訪問被加密的硬盤數據。不管是系統被入侵、筆記本失竊、送去電腦城維修……即便你的硬盤被人「連根拔走」，不法分子都無法解密、恢復或訪問其中原屬于你的數據。

如果你有過嘗試給買來的筆記本設備重裝系統的經歷，應該也會碰到進入重裝步驟前的 BitLocker 解鎖密碼驗證，解鎖了 SSD 以后才能正式進入重裝的步驟。

給較新一點的筆記本重裝系統時可能會遇到這個界面 | 圖：SpecOps

那 BitLocker 具體而言是如何工作的?

在了解 BitLocker 工作原理之前，我們還需要認識一個很少有人提到的模塊：TPM(Trusted Platform Module，可信平臺模塊)，在 Windows 操作系統中，TPM 扮演著 BitLocker 鑰匙「管理者」的身份。

為了避免各種軟件、硬件工具通過偽造這把「鑰匙」的方式進行解鎖，TPM 會采用非對稱加密的方法來保證安全。你可以從字面意義上理解「非對稱加密」：傳統的對稱加密在加密和解密時共用同一把「鑰匙」，而非對稱加密將鑰匙一分為二，一個叫公鑰、一個叫私鑰。公鑰可以暴露給任何人，任何人都可以用這個公鑰來加密數據，但只有持有私鑰的人才能解密。

實際上 TPM 還會用在 Windows Hello 等等安全措施中，用途廣泛 | 圖：微軟

BitLocker 便采用了這種「把雞蛋放在不同籃子里」的加密方式。為了便于理解，我們打個形象點的比方：公鑰可以理解成信箱，每個人想聯系到你都可以給你的信箱投信;而私鑰則是信箱鑰匙，只有你才會持有，因此除了你其他人都無法打得開這個信箱收取信件。

雖然大多數 Windows 用戶甚至都不知道自己手里有這么一把「鑰匙」，在對啟用了 BitLocker 的驅動器進行修改時，系統還是會提示你該到哪里找 —— 在上面的重裝系統案例中，你可以在微軟賬戶管理頁面的設備管理部分查看 BitLocker 提供給你的那把「鑰匙」：

需要用到的時候可以在這里找

最后，BitLocker 也并非是一種萬全的加密手段。

和 SSD 主控或 Mac T2 這類加密工具所攜帶的 AES 加密(有時也被稱為透明加密)不同，BitLocker 的加密在系統開機、解鎖登錄以后，對于系統內應用來說是「透明的」，惡意軟件可以很輕松地訪問、修改和刪除全盤數據。

換句話說，盡管 BitLocker 能夠在上面提到的「極端情況」中保護硬盤數據，它們也只能保障電腦在解鎖登錄之前的數據安全。所以 BitLocker 的存在并不能成為我們放棄其它加密手段的理由。

BitLocker 怎么用?

如何開啟 BitLocker

BitLocker 打開方式也很簡單，一共有兩種方法：直接在對應的磁盤上進行右鍵，你就能看到「打開 BitLocker」;或者在任務欄上的搜索中輸入「BitLocker」直接跳轉到 BitLocker 的控制面板，接著你就可以對你想保護的驅動器打開 BitLocker 了。

最常見的做法就是右鍵

BitLocker 的控制面板界面

選擇「啟用 BitLocker」后還需要經過幾個設置流程，跟隨流程設置完畢后，系統會給出一個保存密鑰的界面。請注意密鑰是唯一的，丟失密鑰會導致你無法正常解密數據，所以一定要好好保存。

一定要多處保存

保存到 Microsoft 肯定最優選擇，即使你文件和打印件不見了，你也可以在上文提到的設備管理界面找到密鑰。如果你沒有在 Windows 系統中登錄微軟賬戶，將密鑰文件存放在安全的云盤或 1Password 這類管理工具中也是不錯的選擇。

保存完成以后，點擊下一步，BitLocker 設置向導會問你需不需要加密全盤數據。加密全盤數據會耗費的時間更久但是更安全;僅加密已用的空間則會更快，但每次寫入的時候都需要對寫入的數據做一次加密。

加密全盤最保險

接下來 BitLocker 設置向導會問你需不需要使用新的加密方式。如果加密對象是長期插在電腦上的，比如自帶的光驅，那就選擇新加密模式;如果是經常需要連接不同設備的移動硬盤，則建議選擇兼容模式來保證正常使用。

新的加密方式更安全

最后重啟系統，BitLocker 加密過程就開始了。加密時長受需要加密的數據量和存儲介質決定。

特殊情況

使用 BitLocker 有個前提：需要 Windows 專業版及以上，而一般情況下出售給個人的電腦都會預裝的是 Windows 家庭版。

微軟考慮到了這點，會在支持的設備上提供一個基于 BitLocker 的「設備加密」功能。「設備加密」可以理解成特殊版本的 BitLocker，家庭版用戶也能使用，你可以進入「設置 > 更新與安全 > 設備加密」中打開它，密鑰也會默認和你的微軟賬戶相關聯，你同樣可以在 這里 找到密鑰。

設備加密

一些常見問題

關于 BitLocker 的基本原理介紹和使用方法就介紹到這里了，針對具體使用過程中可能會出現的問題，這里用 Q&A 的方式補充說明：

我的電腦沒有 TPM 模塊，可以使用 BitLocker 嗎?

可以，但需要我們手動輸入密碼，BitLocker 會通過這串密碼生成恢復密鑰;另外，沒有 TPM 時無法對系統盤進行加密。

BitLocker 加密時性能開銷大嗎?

對 CPU、內存等設備的性能開銷不大，對硬盤性能開銷較大，加密時可以根據實際情況使用電腦。

加密時的資源開銷

BitLocker 加密后的硬盤性能會下降嗎?

對 SSD 幾乎無影響，但是會影響 HDD 的隨機讀取和隨機寫入性能。所以在 HDD 上開啟 BitLocker 時要謹慎考慮，安全與性能自然是不能兩全的。

另外，在長時間持續讀取被加密內容時，可能需要 CPU 持續解密，這個時候 CPU 占用也會比平時高一點。

那么 BitLocker 適合誰使用?

我推薦所有人都打開。如果真的非常擔心它會影響性能的話，經常帶出門的電腦一定需要開，因為 BitLocker 可以阻止惡意入侵，保障數據的安全。

BitLocker 密鑰丟失了能找回數據嗎?

不能。建議用文中提到的方法好好保存。

BitLocker 控制面板里的「暫停」是干什么用的?

維護系統、尤其是在更新 BIOS 時建議使用。如果更新 BIOS 之前你沒關閉 BitLocker，TPM 里的 BitLocker 密鑰會被清空，開機時需要你手動輸入密鑰來進行解鎖;所以如果你不希望這么麻煩的話，更新 BIOS 前別忘了暫停 BitLocker。