当我的 Windows 帐户密码更改时，如何禁用 BitLocker 自动解锁？

禁用 BitLocker 自动解锁功能

您可以完全禁用 BitLocker 自动解锁功能来实现您的要求 - 防止自动解锁 BitLocker 加密的可移动媒体或您已配置的其他驱动器。

提升的命令提示符或批处理脚本

^{代替G:使用适用的驱动器号。}

manage-bde -autounlock -disable G:

Powershell 特定卷

^{代替E:使用适用的驱动器号，但您可以使用Disable-BitLockerAutoUnlockcmdlet 删除以下项特定体积使用自动解锁。}

Disable-BitLockerAutoUnlock -MountPoint "E:"

Powershell 所有卷

^{您可以使用Clear-BitLockerAutoUnlockcmdlet 删除所有配置为使用自动解锁的卷的密钥，而不仅仅是指定的卷。此命令将清除当前计算机上存储的所有自动解锁密钥。}

Clear-BitLockerAutoUnlock

---

更多资源

• 禁用-BitLockerAutoUnlock

• 清除 BitLockerAutoUnlock

• 运行 Manage-bde.exe

• Technet：管理-bde

• ^{从提升的命令提示符}

  manage-bde /?
  
  BitLocker Drive Encryption: Configuration Tool version 10.0.14393 Copyright (C) 2013 Microsoft Corporation. All rights reserved.
  
  manage-bde[.exe] -parameter [arguments]
  
  Description:
      Configures BitLocker Drive Encryption on disk volumes.
  
  Parameter List:
      -status     Provides information about BitLocker-capable volumes.
      -on         Encrypts the volume and turns BitLocker protection on.
      -off        Decrypts the volume and turns BitLocker protection off.
      -pause      Pauses encryption, decryption, or free space wipe.
      -resume     Resumes encryption, decryption, or free space wipe.
      -lock       Prevents access to BitLocker-encrypted data.
      -unlock     Allows access to BitLocker-encrypted data.
      -autounlock Manages automatic unlocking of data volumes.
      -protectors Manages protection methods for the encryption key.
      -SetIdentifier or -si
                  Configures the identification field for a volume.
      -ForceRecovery or -fr
                  Forces a BitLocker-protected OS to recover on restarts.
      -changepassword
                  Modifies password for a data volume.
      -changepin  Modifies PIN for a volume.
      -changekey  Modifies startup key for a volume.
      -KeyPackage or -kp
                  Generates a key package for a volume.
      -upgrade    Upgrades the BitLocker version.
      -WipeFreeSpace or -w
                  Wipes the free space on the volume.
      -ComputerName or -cn
                  Runs on another computer. Examples: "ComputerX", "127.0.0.1"
      -? or /?    Displays brief help. Example: "-ParameterSet -?"
      -Help or -h Displays complete help. Example: "-ParameterSet -h"
  
  Examples:
      manage-bde -status
      manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
      manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek
  

Windows 通过使用从您的密码派生的密钥对大多数敏感数据（保存的密码、NTFS 加密文件、证书私钥等）进行加密来保护它们。当您改变您的密码，它会使用旧密码解密数据，然后使用新密码重新加密数据。但是，如果管理员（或编辑您硬盘的人，或类似人员）强制重置您的密码，Windows 没有生成解密数据密钥所需的原始密码。这些数据（加密文件等）将永远消失。

我实际上并不确定 BitLocker 自动解锁密钥是否受到与其他类型数据相同的保护，但如果没有，我会非常惊讶。因此，如果你担心的威胁是某人强制重置您的帐户密码，那么就没问题了。

顺便提一下，如果您担心此类威胁，您也应该在启动硬盘（以及任何其他内部磁盘）上使用 BitLocker。这不仅可以保护您的其他数据，还可以防止攻击者使用离线攻击重置您的密码。

如果你不喜欢密码保护，那么就买一个智能卡读卡器和卡

BitLocker (To Go) 自动解锁无法防止恶意管理员强制重置您的 Windows 帐户密码以获取访问权限，因为自动解锁密钥与您的 Windows 凭据无关。但是，如果您受 BitLocker 保护的驱动器使用 NTFS 格式化，那么您还可以使用加密文件系统（EFS）功能来加密文件及其所在文件夹。（Windows 2000 以后已包含 EFS。）

此方法有效 - 前提是计算机上没有设置 EFS 数据恢复代理 - 因为 EFS 私钥受用户当前 Windows 密码保护。因此，如果该用户更改密码后，EFS 私钥将被解密，并使用新密码重新加密——但如果管理员强制重置密码后EFS私钥将无法再解密。