Article Number: 000125409

如何在 Windows 中具有 TPM 的情况下启用或禁用 BitLocker

Summary: Windows BitLocker 已成为 Windows 用户加密和保护其数据的解决方案。下面介绍如何使用标准方法启用和禁用 BitLocker。本文不讨论使用 USB 作为 TPM 替代物，也不讨论针对高级功能的组策略更改。域级别组策略更改和网络管理的 BitLocker 设置是尽力而为的服务，它们不在支持范围内。支持的配置仅限于单台计算机和本地管理的 BitLocker 设置。 ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

在 Windows 7、Windows 8、Windows 10 与 Windows 11 中启用和禁用 BitLocker

Windows BitLocker 已成为用户保护其数据的解决方案。下面介绍如何使用标准方法启用和禁用 BitLocker。

本文不讨论使用 USB 作为 TPM 替代物，也不讨论针对高级功能的组策略更改。域级别组策略更改和网络管理的 BitLocker 设置是尽力而为的服务，它们不在支持范围内。支持的配置仅限于单台计算机和本地管理的 BitLocker 设置。

提醒：采用 Skylake 芯片组的系统需要特定的设置，以便 BitLocker 能够正常工作。如果 Skylake 计算机即使采用以下设置仍提示需要恢复密钥，请确保 BIOS 是最新版本。

在传统启动模式下配置的所有操作系统都必须使用 TPM 1.2。建议将 BIOS 更新到最新版本。
在 UEFI 启动模式下配置的所有操作系统既可以使用 TPM 1.2，也可以使用 TPM 2.0。建议将 BIOS 更新到最新版本。
如果已针对 UEFI 启动模式配置 Windows 7 计算机，则必须应用此修补程序才能使用 TPM 2.0：Microsoft TPM 2.0 修补程序
例外情况是 Latitude 5175 和 Latitude 7275，它们都只有 TPM 2.0，而不能降级到 1.2。

提醒：要获得完整的最新要求，请参阅此处的 Microsoft 的 BitLocker 要求：https://technet.microsoft.com/en-us/library/dd835565(WS.10).aspx

1.启用 TPM

提醒：确保在开启 TPM 后将其激活或启用（如果该选项存在的话）。开启 TPM 不会自动使它能够与操作系统通信。有必要启用 TPM，让操作系统取得 TPM 芯片组的所有权来存储加密密钥。

开启计算机。
当计算机执行开机自检时，按热键（通常是 F2 或 Delete 键）以进入 BIOS。
进入 BIOS 后，找到用于配置安全性的部分。
在“Security”部分中，找到 TPM 选项。
选择左侧的 TPM 2.0 或 1.2 部分。

图 1：（仅限英文）选择 TPM 2.0 或 1.2
选中右侧的 TPM 方框以开启 TPM。
在开启 TPM 后，选择用于激活或启用 TPM 的选项

图 2：（仅英文）选择用于激活或启用 TPM 的选项
激活并启用 TPM 后，单击 Save changes and Exit，以便保存更改并退出 BIOS。

返回页首

2.在操作系统中启用 BitLocker

开启计算机。
按照正常方式登录到操作系统。
通过以下方式之一进入 BitLocker 管理部分：

Windows 7

Windows 8

Windows 10 和 Windows 11

Windows BitLocker 如何启用和禁用

持续时间：01:39
隐藏式字幕：仅英文
1. 开始菜单路径。
  1. 单击 Windows 开始菜单按钮。
  2. 在搜索框中，键入“管理 BitLocker”。
  3. 按 Enter 键或单击列表中的管理 BitLocker 图标。
2. 控制面板路径
  1. 单击 Windows 开始菜单按钮。
  2. 单击 控制面板。
  3. 单击系统和安全。
  4. 单击 BitLocker 驱动器加密下的任意选项。
3. 硬盘路径
  1. 打开计算机或我的电脑
    - 或者，单击文件资源管理器图标并选择您的计算机。
  2. 选择加密:\（或 Windows 计算机）驱动器。
  3. 右键单击您选择的驱动器。
  4. 单击开启 BitLocker。
    提醒：这将跳过初始 BitLocker 屏幕。
4. 应用程序屏幕路径
  1. 单击 Windows 开始菜单按钮。
  2. 打开搜索框，键入“管理 BitLocker”。
  3. 按 Enter 键或单击列表中的管理 BitLocker 图标。
5. 控制面板路径
  1. 单击 Windows 开始菜单按钮。
  2. 打开搜索框，键入控制面板。
  3. 在“控制面板”窗口中，单击系统和安全或搜索 BitLocker。
  4. 单击 BitLocker 驱动器加密下的任意选项。
6. 硬盘路径
  1. 打开计算机或我的电脑
    - 或者，单击文件资源管理器图标并选择您的计算机。
  2. 选择 C:\（或 Windows 计算机）驱动器。
  3. 右键单击您选择的驱动器。
  4. 单击开启 BitLocker。
    提醒：这将跳过初始 BitLocker 屏幕。
7. 开始菜单路径。
  1. 单击 Windows 开始菜单按钮。
  2. Windows 10：在搜索框中，键入“管理 BitLocker”。
    Windows 11：在搜索框中，键入“设备加密”。
  3. 按 Enter 键或单击列表中的管理 BitLocker 图标。
8. 控制面板路径
  1. 右键单击 Windows 开始菜单按钮。
  2. 单击 控制面板。
  3. 单击系统和安全。
  4. 单击 BitLocker 驱动器加密下的任意选项。
9. 设置路径
  1. 单击 Windows 开始菜单按钮。
  2. 单击设置图标。
  3. 在搜索框中，键入“管理 BitLocker”。
  4. 按 Enter 键或单击列表中的管理 BitLocker 图标。
10. 硬盘路径
  1. 打开计算机或我的电脑
  2. 选择 C:\（或 Windows 计算机）驱动器。
  3. 右键单击您选择的驱动器。
  4. 单击开启 BitLocker。
    提醒：这将跳过初始 BitLocker 屏幕。
在“BitLocker 管理”屏幕中，单击开启 BitLocker。

图 3：（仅英文）单击“Turn on BitLocker”
BitLocker 将经历简短的初始化过程。

图 4：（仅英文）启动 BitLocker
选择用于保存恢复密钥的三个选项之一。

图 5：（仅英文）保存恢复密钥

注意：此密钥必须保存在安全位置。如果需要访问驱动器，则这是用来访问驱动器的恢复密钥。如果密钥丢失，则无法从锁定的驱动器恢复数据，并且必须重新安装操作系统。此密钥对于每台计算机都是唯一的，并且仅适用于它被创建用于的目标计算机。

将密钥保存在安全的位置
图 6：（仅限英文）将密钥保存在安全位置

保存密码文件后，单击下一步。
选择其中一个卷加密选项。
1. 对整个硬盘进行加密。
  - 这会加密硬盘上的所有空间，而不管它是否已使用。处理加密需要较长时间。
2. 对已用空间进行加密。
  - 这只会在硬盘上填充数据时对空间进行加密，而保留空闲空间不加密。这是首选的基本加密方法，因为它较快。
    
    图 7：（仅英文）选择要加密的驱动器空间量
在选择加密选项后，单击下一步。
如果出现加密类型选择，请选择要使用的加密类型。
- 新模式是适合新计算机的首选加密方法。
  
  图 8：（仅英文）选择要使用的加密类型
单击下一步
选中标有“运行 BitLocker 系统检查”的复选框。

图 9：（仅英文）选中“运行 BitLocker 系统检查”
单击继续
验证设置后重新启动计算机以开始加密。

提醒：根据加密的数据量、计算机的速度以及加密过程是否因计算机关机或进入睡眠状态而中断，加密可能需要 20 分钟到几个小时不等。直到计算机重新启动后，BitLocker 加密才会开始。如果有工作必须完成，安全的做法是完成工作并保存，然后再重新启动。

图 10：（仅英文）重新启动计算机以开始加密

返回页首

3.检查 BitLocker 状态（管理 BitLocker 控制台）

使用前面所述的其中一种方法打开该管理 BitLocker 控制台。
查看控制台中报告的状态。
- 如果正在加密，则状态会显示 BitLocker 正在加密。
- 如果已加密，则状态会显示 BitLocker 已开启，并显示锁定图标。
  
  图 11：（仅英文）使用 BitLocker 控制台检查 BitLocker 状态