关于 Windows10 Bitlocker 的一些问题

1 、影响可以忽略。
2 、组策略。
3 、不知道。
4 、对个人或企业都足够高了（ TPM 存在的情况）。

1 、我的电脑刚买就开启了 bitlocker ，对性能基本没有影响
2 、没有 TPM 好像没有可以用 U 盘之类的设备存储 key 或者使用密码方式，貌似没有 TPM 不能加密系统盘。
4 、安全性足够高，据说现在还无人可以破解。

1 可以认为没有影响
2 修改组策略，让系统允许使用 U 盘或者密码来启用 BitLocker
3 WinRE 环境内要想备份，得先输入密码（有些国产 WinPE 环境精简了 BitLocker 服务）。不过你可以使用 VSS 服务，在正常运行的系统里面备份
4 使用 TPM 的话，在有关部门 /NSA/FBI 面前有可能被破解。使用密钥或者密码的话，取决于密码和密钥的安全性。不过 BitLocker 也不是万能的，还是需要你自己良好的安全习惯。

BitLocker 对读写性能当然有影响而且影响是可见的，但是启动系统的时间几乎不会变化；它使用 AES ，你可以选择是 128 还是 256 。

没有 TPM 则需要一个外置 USB 设备或者每次输入密钥，非常麻烦。不同的模式包括： TPM ； TPM+PIN ； TPM+USB ； TPM+PIN+USB ； USB ；密码。

如果 Windows PE 在受 BitLocker 保护的硬盘上，那么访问 Windows PE 之前你需要解开 BitLocker ，要么是自动的（ TPM ）要么是手动的（ USB/密钥）；如果 Windows PE 是在不受保护的部分，或者在外置媒体上，那么你需要输入密钥来解锁被 BitLocker 保护的硬盘。

从 TPM 拿出密钥是几乎不可能的，另外有 TPM 的时候， TPM 会验证启动器的完整性；没有 TPM 的时候不太清楚；如果在关掉电脑之后立刻冷冻，可以从硬件（ RAM 、磁盘缓存）中提取一些有用的信息，如果用 TPM ，解锁是自动的，所以攻击者可以启动你的电脑，关掉然后冷冻，然后尝试从硬件里面提取信息（有些电脑有不可拆除 RAM ）。

@ProjectAmber
@xrlin
@processzzp
@geelaw
谢谢您的回答 感谢已发送

国行可以有 tpm ，只是你的没有

tpm 是硬件级加密不可缺少的部分，没有他你的加密都是伪的。

可以强制不使用 tpm 弄成启动时候输入密码

Disabling TPM in BitLocker
http://truecrypt.sourceforge.net/NoTPM.html

@ahhui 我的理解 TPM 只是把一些密钥信息存在了 TPM 里面，没有 TPM 就是每次开机都得人肉输入密钥

开了 bitlocker （没 tpm ），假如开机时输入 bitlocker 密码时关机，有个命令输入一下能解决，没做记录，记不得了，应该不难找，

还有你假如创建了 vhd ，不会开机时自动加载（不能这样搞双系统了），我只用 win10 一个系统，估计装多系统也挺烦的

我是 三星 850evo 开的硬件自加密，没 tpm

同时有硬件自加密的硬盘（比如三星 850evo ）和 tpm ，别用 tpm+硬件自加密，能绕过

备份系统盘镜像 直接在 win10 里备份，不需要 win10PE 等恢复环境的

@churchmice 你的理解没有错，但是没有 TPM 意味着密钥存储在可控区域外，泄露和被猜出的几率大大上升。可参考这里的描述： https://msdn.microsoft.com/zh-cn/library/hh831507(v=ws.11).aspx

[我是否能在没有 TPM 的操作系统驱动器上使用 BitLocker ？]

[是的，如果 BIOS 或 UEFI 固件具有在启动环境中读取 U 盘的功能，你就可在没有 TPM 版本 1.2 或 2.0 的操作系统驱动器上启用 BitLocker 。 这是因为，在计算机 TPM 或包含该计算的 BitLocker 启动密钥的 U 盘首次发布 BitLocker 自有的卷主密钥前， BitLocker 不会将受保护的驱动器解锁。 但是，没有 TPM 的计算机无法使用 BitLocker 同时提供的系统完整性验证。]

请注意最后一句。

硬件级支持的加密才更加安全可靠。苹果的设备 FBI 解不开也是因为安全硬件就在 CPU 里，拆出来或者更换了，都无法解密。

@churchmice 简单的理解，可以把 TPM 想象成一个加密的密室，加密数据进去后，出来就是解密的，里面用什么密钥进行的操作，外面无从得知，同时芯片在解密的时候，会验证一系列硬件安全特性，如果有问题，解密会被拒绝。那么如果没有这块芯片，数据解密只能在内存里完成，这样意味着无论密钥多么强大，在进入系统引导之后，密钥被留存在内存的某个区域，那么一旦有能深入 ring0 层次的驱动可以访问这块内存，则密钥必然泄露。所以，没有 TPM 安全性会大大降低。

@ahhui “但是，没有 TPM 的计算机无法使用 BitLocker 同时提供的系统完整性验证。”

这句话的意思是 TPM 可以验证启动电脑的软件是好的，不会因为软件内置了病毒而被偷走密钥。

例子：没有 TPM 的时候，可以修改 bootloader 使得它加载一段恶意代码，恶意代码展示和 Windows 相同的界面，并允许用户输入密钥或者用 USB 输入密钥，获取密钥后尝试 BitLocker 解锁，如果解锁成功，则把密钥存在一个不加密的区域，等下次接触电脑的时候带走，或者等链接到网络后发送出去。

并不是“密钥存储在可控区域外”，密钥存储在 USB 上（用户控制），或者存储在用户的脑子里。也不会“被猜出的几率大大上升”，泄露的几率增加了，但是如果使用者保证不给不受信任的软件管理员权限，并且保证输入密钥之前电脑总是在自己的控制范围内（比如不能睡一觉之后起来用电脑），那么仍然是安全的。

@geelaw 感谢指正

学校的电脑 TPM 加密系统盘，见过 2 台电脑开机失败，要输入回复密钥什么的。一次还是自己“亲手“造成的，就是电脑待机，死机了我强行关机，开机后就要输入一串什么码，理由是启动环境变了（应该觉得它要进安全模式）。顿时觉得这东西哪天发神经，直接让你桌面都进不去，弄不好数据全部拜拜。那个密钥我觉得是印在主板 TPM 模块上，要看到必须打开机箱，但机箱有入侵检测， BIOS 毫无疑问是锁住的。从这个方面看，你的数据又是安全的，不让打开机箱不让改启动项。

推荐 Veracrypt 之类的， bitlocker 感觉功能太弱了