Felix021

　　记得很早之前就想给自己的电脑启用BitLocker，但是因为主板上没有TPM芯片（用于存储密钥），不能给系统盘加密；而不能给系统盘加密的话，其他盘的解密就需要每次启动系统以后再输入一次密钥，然而我的文档、桌面等一般都存在其他盘，我估摸着会出现一些奇怪的现象，所以就放弃了。

　　昨天兴起又研究了一下，发现其实并不是一定要有TPM才能给系统盘加密——这个限制是Vista第一次引入BitLocker时的要求，后来微软也意识到，由于大多数民用主板上没有集成TPM芯片，导致BitLocker略显鸡肋，于是在Win7开始做了个变通，允许把加密密钥保存在单独的启动分区里，通过一个密码（或启动U盘）来保证密钥的安全，但是需要在组策略编辑器里将“计算机配置-管理模板-Windows组件-BitLocker驱动器加密-操作系统驱动器-启动时需要附加身份验证”修改为已启用（注意左下角“没有兼容的TPM时允许BitLocker”被打上勾了），系统盘被加密后，用户在启动电脑时输入一次密码即可。

　　对Win7系统安装略有了解的同学大概注意到了，从光盘启动安装的话，除了Windows系统盘之外，还会创建一个100M的启动分区和一个恢复分区，其中启动分区一方面是为了兼容UEFI，另一方面也一定程度上解决了TPM的问题。虽然可以不需要TPM了，但是必须要说一句，这样的安全性还是降低了，因为启动分区是不加密的，这意味着有心人可以替换启动器（启动分区的第一个扇区，或者BOOTMGR）收集到用户启动时输入的密码，从而获得加密密钥。我想这也是微软默认仍然需要tpm，除非用户主动修改组策略的原因吧。

　　我以前一直很不喜欢Windows的这个小动作（凭什么一个系统要占据3个Primary Partition？要知道MBR方式的磁盘只支持4个主分区或者3主分区+1逻辑分区，这么搞真浪费），所以我通常是用Wim安装器来安装，只需要一个主分区，结果就把自己坑了……还好补救措施很简单，通过DiskPark或者DiskGenius或者diskmgmt.msc开一个100M的主分区（注意不能是逻辑分区），激活（设置为启动分区，此处应有55AA梗），格式化为NTFS，把系统盘的 boot目录、bootmgr文件 拷贝到新分区，再用管理员cmd执行 "bcdedit /export X:\boot\bcd" ，重启电脑后就能开启BitLocker了。

　　开启了BitLocker以后感觉心里踏实了很多，毕竟Chrome保存了那么多密码，如果电脑被偷走还是挺头疼的。

---

欢迎扫码关注：

转载请注明出自 ，如是转载文则注明原出处，谢谢:)
RSS订阅地址: https://www.felix021.com/blog/feed.php 。