我在一台计算机上尝试执行我在另一台计算机上成功完成的进程时遇到了问题。
我在另一台计算机上成功实现了以下目标:
- 具有非 TPM 兼容模块的计算机安装了 Windows 10 Pro。
- 尝试在 C: 上启用 BitLocker
- Windows 抱怨没有兼容的 TPM 模块。
- 从组策略中禁用该要求,重新启动并重试。
- 通过 BitLocker 向导,Windows 会询问您解锁方法,然后我选择我喜欢的方法 - 密码(既不是 PIN 也不是 USB 驱动器),然后输入我的自定义密码,然后向导要求我将恢复文件保存在某处,最后提交选项。
- 加密过程仍在继续。
- 下次启动时,我必须输入密码。
我在装有 Windows 10 的笔记本电脑上遇到了什么情况:
- 尝试在 C: 上启用 BitLocker
- Windows 抱怨没有兼容的 TPM 模块。
- 从组策略中禁用该要求,重新启动并重试。
- 通过 BitLocker 向导,Windows 不会询问我任何解锁方法,它只是转到我必须在某处保存恢复文件的屏幕,然后它会提供提交选项。
我没有选择密码解锁或输入任何自定义密码,因此我没有提交向导。我该怎么做才能让 Windows 显示密码输入选项?我做错了什么或做了什么不同的事情吗?
提前致谢。
请注意:请注意,我更喜欢密码解锁的原因与主题无关。
答案1
我们实际上会查看几个设置,确保您已进行以下设置,以完全禁用 TPM 管理和密钥使用,并诉诸密码。
- 打开
gpedit.msc
。 - 导航计算机配置→管理模板→Windows 组件→BitLocker 驱动器加密→操作系统驱动器。
- 设置以下策略选项:
- 启动时需要额外的身份验证:
- 已启用。
- 允许没有兼容 TPM 的 BitLocker:选中
- 配置 TPM 启动:不允许 TPM
- 配置 TPM 启动 PIN:需要使用 TPM 启动 PIN
- 配置 TPM 启动密钥:不允许使用 TPM 启动密钥
- 配置 TPM 启动密钥和 PIN:不允许使用 TPM 启动密钥和 PIN
- 允许使用增强型 PIN 启动:已启用
- 配置操作系统驱动器的密码使用:
- 已启用
- 配置操作系统驱动器的密码复杂性:允许密码复杂性
- 启动时需要额外的身份验证:
对于非系统驱动器,请确保设置以下复选框:
- 导航固定数据驱动器。
- 配置固定数据驱动器的密码使用
- 已启用
- 需要固定数据驱动器密码:已选中
我想这差不多涵盖了所有内容。现在它应该为您提供密码输入选项。它还应该支持强密码,并且在启动时也支持。希望这对您有所帮助!
答案2
本文介绍如何启用 BitLocker 的密码加密https://appuals.com/how-to-encrypt-system-partition-by-using-bitlocker-without-tpm/
tl;dr:编辑组策略 Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drive/Require additional authentication at startup
,单击Enabled
,单击Allow Bitlocker without compatible TPM chip
此组策略设置中的复选框,然后保存。
但是,如果您的计算机有 TPM 模块,您会注意到您只能选择 PIN、USB 驱动器或无需其他身份验证。这里的“PIN”选项是指使用TPM+PIN,与不使用TPM而只使用密码是不一样的。
要真正启用密码选项(如非 TPM 计算机中那样),您需要在 BIOS 设置中禁用 TPM。如何操作或是否可以操作取决于您拥有的主板/笔记本电脑。
引用组策略中的描述Computer Configuration/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drive/Require additional authentication at startup
:
如果您想在没有 TPM 的计算机上使用 BitLocker,请选中“允许在没有兼容 TPM 的情况下使用 BitLocker”复选框。在此模式下,启动时需要密码或 USB 驱动器。
...
在具有兼容 TPM 的计算机上,启动时可以使用四种类型的身份验证方法来为加密数据提供额外的保护。计算机启动时,可以只使用 TPM 进行身份验证,也可以要求插入包含启动密钥的 USB 闪存驱动器、输入 6 位到 20 位个人识别码 (PIN),或者两者兼而有之。
据我了解,如果 Windows 检测到您的计算机有 TPM,您就无法使用密码,在这种情况下,它会强制您使用涉及 TPM 的方法,因此您必须禁用 TPM 模块才能使用密码加密。
我已经在具有 TPM 模块的 MSI P65 笔记本电脑上进行了测试,在 BIOS 设置中禁用 TPM 模块并启用组策略选项后,我可以在设置 BitLocker 时选择密码作为加密方法。
注意:您可能还想禁用硬件加密(针对Operating System Drive
和Fixed Data Drives
:https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/