我的电脑里有一个安装了操作系统的 SSD 和一个带有两个分区的 HDD,其中一个分区我用来存储我的用户配置文件和其他潜在敏感数据。
如果可能的话,我想加密其中一个数据分区,但不加密操作系统磁盘,并且我想将密钥放在 USB 驱动器上。尝试使用 Bit-locker 时,我只能将 USB 密钥用于我的系统驱动器,而数据驱动器只提供密码选项。我假设如果我加密操作系统驱动器,我将能够对数据驱动器使用相同的密钥(自动解锁),但是我宁愿不加密我的操作系统驱动器,因为我看不出有任何理由降低其性能,因为操作系统驱动器不包含任何我认为敏感的数据。
这可能吗?
答案1
如果没有命令提示符或 powershell 你就无法实现这一点。
以管理员权限打开 cmd 窗口(winkey + x)
对于新驱动器:
manage-bde -on D: -RecoveryKey F: -RecoveryPassword -UsedSpaceOnly
将显示由一长串数字代码组成的 RecoveryPassword (-rp),供您复制到安全的地方,并在您丢失 USB 密钥时使用。RecoveryKey (-rk) 或 StartupKey (-sk) 将外部密钥文件放在 USB 驱动器 F: 上。添加 -UsedSpaceOnly 以加快加密速度。
对于已加密的驱动器:
Manage-bde D: -protectors -add -RecoveryKey F:
Manage-bde D: -protectors -add /?
/? 将产生帮助概述。
成功将外部密钥文件保护程序添加到数据驱动器后,Windows 将不会在检测到 USB 密钥时自动解锁数据驱动器。如果您启用 Bitlocker 自己的自动解锁机制,它会将外部密钥文件添加到 Windows 注册表中,但此功能仅在系统驱动器加密时可用。您无法“教导”Windows 使用密钥文件自动解锁数据驱动器。但是,您可以在任务计划程序中添加任务,从而导致此行为。
manage-bde -unlock D: -RecoveryKey "F:\00000-...-.bek"
这次您确实需要具体指向 USB 密钥上的文件(而将密钥保存到 USB 驱动器不需要您指定特定的文件夹/文件名)。
正如下面的评论所述,您还可以使用 bitlocker-corner-popup 中的蓝色链接用鼠标解锁驱动器。