这可能是全网最全的BitLocker的介绍，建议收藏保存，如果遇到BitLocker的问题，一定可以帮助到你

BitLocker是一种驱动器加密技术，它与操作系统集成，用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。

我们的所有数据都保存在硬盘上，无论是机械硬盘HDD还是固态硬盘SSD。当我们打开电脑时，可能设置了密码或者PIN码，对其进行保护。但是，如果有人获得了我们计算机的物理访问权限时候，他们依然可能通过带有linux的USB驱动器或者PE等，绕过开机密码的保护。

BitLocker通过将驱动器上的所有数据扰乱成一个加密的混乱局面来防止这种情况的发生。只有使用解密密钥才能理解其中的内容。

所以通常将密钥存储在TPM的安全模块中，TPM 是计算机制造商安装在许多较新的计算机上的硬件组件。

windows加密驱动器并将密钥存储在TPM中。如果没有该密码，就无法读取该驱动器。

当你的计算机下次启动并且windows启动管理器尝试读取驱动器时，它会向TPM询问密钥，然后TPM将交出密钥，以便现在可以读取加密的驱动器并且你的计算机可以继续启动。

简单来说，TPM 只是在被动询问时交出密钥，它通过存储计算机启动时的测量值来保护密钥。正在使用的软件和配置都是经过测量的。如果它们与TPM 中存储的不同，则不会释放密钥。

如果你尝试启动 Linux、PE或者将硬盘移植到另一台计算机上，则测量值会发生变化。此时，就会出现BitLocker 恢复屏幕。反过来说，如果你看到了BitLocker 恢复屏幕，则可能意味着测量值已更改。

为了解决这个问题，你需要自己输入密钥，让测量值再次计算。 但有时候，我们可以先做一件简单的事情：关闭计算机，然后重新打开。 有时在启动过程中会发生奇怪的事情，只需重新启动即可使 BitLocker屏幕消失。

BitLocker 提供保护静态数据的全卷加密。 最常见的设备配置将硬盘驱动器拆分为几个卷。 操作系统和用户数据位于保留机密信息的一个卷中，而其他卷保留启动组件、系统信息和恢复工具等公用信息。 (这些其他卷很少使用，因此它们不需要对用户可见。) 如果没有更多的保护，如果包含操作系统和用户数据的卷未加密，则有人可以启动另一个操作系统，并轻松绕过预期操作系统对文件权限的强制执行来读取任何用户数据。

在最常见的配置中，BitLocker 会加密操作系统卷，以便在关机后计算机或硬盘丢失或被盗的情况下，卷中的数据保持机密性。 当计算机处于打开状态，正常启动，并继续进行 Windows 登录提示时，继续的唯一路径是用户使用其凭据登录，从而允许操作系统强制使用其正常文件权限。 如果有关启动过程的一些情况发生更改，但是，例如其他操作系统从 USB 设备启动，操作系统卷和用户数据无法读取且无法访问。 TPM 和系统固件共同协作以记录系统启动方式的测量，包括加载的软件和配置详细信息，例如是从硬盘驱动器还是 USB 设备发生启动。 BitLocker 依赖 TPM，以允许仅在按预期方式发生启动时使用密钥。 系统固件和 TPM 经过精心设计，可共同协作以提供以下功能：

用于度量的硬件信任根。 TPM 允许软件向其发送记录软件或配置信息测量的命令。 可以使用实质上将大量数据转换为小型、在统计学上唯一的哈希值的哈希算法计算此信息。 系统固件具有名为用于测量的信任核心根 (CRTM) 的隐式受信任的组件。 CRTM 对下一个软件组件无条件地进行哈希处理并通过将命令发送到 TPM 记录测量值。 连续组件（系统固件或操作系统加载程序）通过测量它们在运行这些之前加载的任何软件组件继续进行此过程。 因为每个组件的测量在运行之前被发送到 TPM，所以组件无法从 TPM 中清除其测量。 （但是，系统重启时可清除测量。）结果是，在系统启动过程的每个步骤中，TPM 都会保留启动软件和配置信息的测量。 启动软件或配置中的任何更改都会在该步骤和后续步骤中产生不同的 TPM 测量。 由于系统固件无条件地启动测量链，所以它为 TPM 测量提供基于硬件的信任根。 在启动过程中的某些时候，记录所有已加载软件和配置信息的值减少，且测量链停止。 TPM 允许创建的密钥仅在保留测量的平台配置注册表具有特定值时可以使用。

仅当启动度量准确时才使用密钥。 BitLocker 在 TPM 中创建的密钥仅在启动测量匹配预期值时可以使用。 当 Windows 引导管理器从系统硬盘驱动器上的操作系统卷运行时，计算启动过程中的步骤的预期值。 Windows 引导管理器以未加密的形式存储在引导卷上，它需要使用 TPM 密钥，以便它可以从操作系统卷将数据读取解密到内存，并且使用加密的操作系统卷继续启动。 如果已启动其他操作系统或已更改配置，TPM 中的测量值将会不同，TPM 将不允许 Windows 引导管理器使用密钥，启动过程无法正常继续，因为无法解密操作系统上的数据。 如果有人试图使用其他操作系统或其他设备启动系统，TPM 中的软件或配置测量将会错误，并且 TPM 将不允许使用解密操作系统卷所需的密钥。 作为防止失败的措施，如果测量值意外更改，用户始终可以使用 BitLocker 恢复密钥访问卷数据。 组织可以将 BitLocker 配置为存储恢复密钥Active Directory 域服务 (AD DS) 。

设备硬件特征对于 BitLocker 及其保护数据的能力很重要。 一个考虑事项是当系统处于登录屏幕时，设备是否提供攻击途径。 例如，如果 Windows 设备具有允许直接内存访问，以便其他人能够插入硬件并读取内存的端口，攻击者可以在处于 Windows 登录屏幕时，从内存读取操作系统卷的解密密钥。 为了缓解此风险，组织可以配置 BitLocker，以使 TPM 密钥需要正确的软件测量和授权值。 系统启动过程在 Windows 引导管理器处停止，并提示用户输入 TPM 密钥的授权值或插入包含值的 USB 设备。 此过程可阻止 BitLocker 将密钥自动加载到内存，因为它在内存中可能易受攻击，但用户体验不太理想。

较新的硬件和 Windows 可以更好地协同工作，以禁用通过端口的直接内存访问并减少攻击向量。 结果是，组织可以部署更多系统，而无需用户在启动过程中输入其他授权信息。 正确的硬件允许 BitLocker 结合使用“仅 TPM”配置，从而为用户提供一种登录体验，而无需在启动过程中输入 PIN 或 USB 密钥。

密钥一定要存放在电脑以外的地方。否则如果电脑遗失了，同样也丢了密钥。所有的加密变得毫无意义。

打开开始菜单，输入【bitlocker】，打开管理BitLocker。

或者打开控制面板，打开BitLocker驱动器加密

选择需要加密的驱动器，点击【启用BitLocker】

会提示我们设置解锁驱动器的密码，一定要牢记密码。

点击下一页后，会提示如何备份恢复的密钥，非常关键。

如果你忘记密码，就可以使用恢复密钥访问驱动器。如果恢复密钥也找不到了，就再也无法打开驱动器了。

想把BitLocker的密钥保存到Microsoft账户，必须用Microsoft的账号登录到windows系统，才可以自动将密钥保存在Microsoft账户里。如果采用本地账户，点击保存到Microsoft的时候就会有如下报错。

windows11本地用户切换到Microsoft帐户

插入USB设备，点击“保存”

BitLocker的恢复密钥，会自动保存到U盘中，一个文本文档

点击保存到文件，将BitLocker恢复密钥另存到指定位置，同样是一个文本文件

选择后可以直接通过打印机打印出来

打印的内容如下

保存导出的BitLocker恢复密钥后，点击下一页。选择仅加密已用的磁盘空间或者加密整个驱动器，主要是速度上的差异

点击下一页，选择要使用的加密模式。

选择好以后，点击下一页。会提示BitLocker驱动器加密进行中。进行中的加密，不影响磁盘的正常使用。

加密完成后，驱动器上会显示BitLocker已启用。

开始菜单输入“cmd”，然后选择以管理员身份运行

输入命令【manage-bde -protectors -get C:】

注意：一定要写磁动器的盘符比如C：

Password的部分就是密钥

如果你的电脑，出厂时已经打开了BitLocker，那你一定要备份恢复密钥。否则万一遇到BitLocker的蓝屏锁定，你是无法打开驱动器的。会造成数据无法找回的悲剧。

找到BitLocker加密的驱动器，点击备份恢复密钥。

将BitLocker的密钥保存到指定的地方。注意：一定不要把密钥放在同一台电脑里，你可以上传云端或者打印出来，或者将文件保存到移动硬盘，U盘等。

如果你的电脑没有机密数据，并且经常遗忘密码等。其实关闭BitLocker也是非常好的一种选择。至少避免了，数据被锁定，无法恢复的风险。彻底回避了BitLocker的蓝屏风险。

选择【关闭BitLocker】

提示关闭BitLocker可能需要很长的时间，但你可以在解密的过程中继续使用电脑。

解密进行中

解密完成后，显示BitLocker已关闭

如果之前电脑是用Microsoft账户登录的，可以尝试登录Microsoft账户官网找到备份的密钥。

如果你的电脑已经被BitLocker蓝屏锁定了，又恰好你没有备份恢复密钥。你可以用任何设备登录到Microsoft账户尝试找回密钥。

1，登录Microsoft账户官方地址：https://account.microsoft.com/

2，找到对应的设备，点击查看详细信息

3，找到BitLocker数据保护，点击【管理恢复密钥】

恢复密钥是一段48位的数字，6个数字一段，8段组成。

如果你遇到BitLocker蓝屏锁屏了，找到之前备份的密钥。找到对应的ID下面的password

只需要将Password的数字输入进去就可以解锁BitLocker，恢复磁盘数据

可以直接格式化硬盘，或者重新安装新操作系统。

使用BitLocker To Go可以加密U盘或者移动硬盘，这样可以更好的保护U盘或移动硬盘内的数据。万一移动设备丢失，也不担心数据泄露。

温馨提示：请在加密之前备份移动设备上的所有数据。

插入U盘或者移动硬盘

右键单击 USB 闪存驱动器或外部硬盘驱动器，然后单击“启用BitLocker”

或者在控制面板BitLocker驱动器加密中，BitLocker To Go中，启用BitLocker

此选项会提示用户输入密码以解锁驱动器，密码允许在任何位置解锁驱动器并与其他人共享。BitLocker To Go 要求密码至少包含八个字符

然后可以选择恢复密钥备份的位置，Microsoft账户、另存为文件、或者直接打印出来

选择要加密的驱动器空间大小，主要区别在于速度

选择要使用的加密模式，如果你的移动设备比较久了，可以选择兼容模式

会再次询问，是否准备加密该驱动器。点击开始加密

然后开始加密驱动器。注意在加密的过程中，不要移除U盘或者移动硬盘。

加密所需要的时间取决于驱动器的大小。加密完成后会有提示框

将U盘弹出后，重新插入计算机，会提示此驱动器受BitLocker保护。

点击通知，提示输入密码以解锁此驱动器

点击更多选项，下方支持输入恢复密钥解锁。

勾选在这台电脑上自动解锁，以后U盘插入该计算后即可无需再次输入密码。

输入密码后，即可打开U盘，正常访问U盘中的内容

在控制面版，BitLocker驱动器加密中

可以调整BitLocker To Go的设置，比如备份恢复密钥，更改密码，删除密码，添加智能卡，启动自动解锁，关闭BitLocker

这里值得一提的是，启动自动解锁。开启自动解锁后，移动设备会信任该计算机，后续接入移动设备的时候，可以无需输入密码，直接查看磁盘内容。满足安全性的同时，又非常的便捷。

在BitLocker To Go中，直接选择关闭BitLocker

驱动器正在解密。注意在加密的过程中，不要移除U盘或者移动硬盘。

解密完成后会有一个通知。磁盘解密已完成。

至此，这个U盘再次插入任何计算机都可以正常读取，无需输入密码了。