我有一些配备某种形式的 BitLocker 的笔记本电脑,其中驱动器上的数据已加密,但没有设置密钥保护器,即不依赖任何密码、TPM 等来解密驱动器。
它看起来像这样manage-bde:
Volume C: [Windows-SSD]
[OS Volume]
Size: 951.65 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: None Found
我还使用 Macrium Reflect 来管理我的备份。某些情况,恢复的备份可能会完全删除 BitLocker 加密。
在 BitLocker 被删除(例如由于备份还原)后,我想将其重新启用为明文密钥状态。我该怎么做?
如果有人对为什么,一方面是希望恢复后的状态与原始状态完全相同,另一方面是希望以后更容易擦除驱动器,而不会使备份过程变得更加困难。目前,我还没有准备好“正确”启用 BitLocker。
答案1
启用此状态的最直接方法是“设备加密”,它是 BitLocker 的一个子集,在家庭版中也可用。它位于“设置”的“隐私和安全”部分下。它似乎只在某些特定机器上可用,例如,我可以在这些笔记本电脑上看到它,但在定制的台式机上看不到。
启用此功能没有Microsoft 帐户似乎以与来自 OEM 相同的部分状态加密驱动器。
以下步骤来自原始答案,适用于通过 BitLocker 应用类似形式的加密,但与原始设备加密选项并不完全相同(值得注意的是,它将设备加密设置为“由 BitLocker 管理”模式)。它们还需要专业版。
看起来,可以通过先用密钥保护器加密驱动器,然后删除所有密钥保护器来实现“清除密钥”状态。
manage-bde -on C: -used
这将启用 BitLocker,可能使用 TPM 的默认设置。有一个-Password选项,但可能需要更改组策略设置才能允许它。没关系,我们在下一步中删除 TPM 保护器。但首先,需要重新启动,然后驱动器应该开始加密(如图所示manage-bde -status)。
确保驱动器至少处于加密状态(重启后)。在加密开始前移除保护器将使驱动器处于完全解密状态。
接下来我们删除所有保护器:
manage-bde -protectors -delete C:
现在我们应该处于加密但清晰的密钥状态。