Bitlocker 的“备份恢复密钥”功能太不安全了吧

处于解锁状态下的磁盘操作 BitLocker 都不会再校验密码。

@Aliencn 对啊，太不安全了，备份密钥重要验证下原来的密码吧，微软这样弄，别人接触你电脑，密钥可以随便拿了

@Ko7ut 加密和访问控制是两个不一样的安全措施，备份密钥需要的是访问控制，靠的是管理员账户的口令。

都登陆了，还备份毛线恢复密钥，直接全盘拷走不是更方便吗？

离开电脑前你不锁定工作站吗？

另外如果你想别人临时用一下你的电脑，给他一个受限用户（ Users 组）就好了。

你要是弄明白为什么 Windows 上没有原生的单独加密某个文件夹功能就明白这个问题了

我有事临时用一下你家钥匙，顺便拿着去配一把以后就能永久进你家了。你家锁太不安全了。

@anyclue What? 什么算“原生”？ EFS ？

@geelaw 要是有人问你 Windows 上怎么加密某一个文件夹啊？我不知道你怎么回答，我会告诉对方 Windows 上不能加密某一个文件夹， Windows 上的使用安全靠的是权限来控制的，你如果不想让别人访问这个文件夹，就别让他登陆你现在使用的 Administrator 账户

@anyclue 我还是没有理解，你不可以使用 EFS 吗？ EFS 和 ACL 是两个完全不同的防御方向—— EFS 防止可以修改或绕过 ACL 的人访问文件（例如本地 /域管理员，或者拆机）， ACL 防止一个非管理员在 Windows 的控制下访问这个文件。

如果你希望使用额外的密码加密一个文件夹或者文件，似乎 macOS 也没有这种东西，而 Linux 的那些工具也很难说是“原生”。第三方软件到处都是。

“ Windows 上的使用安全靠的是权限”，当然，哪个系统上都是使用权限最简单； EFS 或者任何其他加密方式是保护软件控制范围之外的，例如有人拆了你的硬盘（当然你需要把密钥也加密起来，比如把系统分区 BitLocker 上）。

我觉得你并没有理解加密和 ACL 的意义之区别，或者你懒得把这个概念给一个无知的人解释清楚。

如果你了解了上述知识，你可以选择建立另一个分区，然后把它装入空白的 NTFS 文件夹，然后用密码式 BitLocker 加密那个分区，这样你就可以加密一个文件夹了。但是任何明智的人都不会这样做——这很麻烦。

如果平时借给别人用的时候的是受限用户，两条路，一是给别人的时候用其他受限用户，然后自己的文件设 ACL ；二是给别人的时候仍然用自己的受限用户，自己建立一个新的受限用户用于存储受保护的文件夹，可以使用 EFS 而放松 ACL 。

但是这样你仍然面临着加密数据被删除的可能；如果你不想加密数据被删除，那么惟一的方法就是 ACL ，就绕回来了。

@geelaw 哦哦哦

是不是每一次 IO 操作都校验一次密码你才觉得安全(手动滑稽)

被好多人喷啊。。。

其实 bitlocker 主要是防艳照门的（逃走

首先……作为被 BitLocker 的 AES-XTS 坑过的人，同情一下 LZ （ Win10 在 1511 版加了新加密方式，不兼容老系统，结果老系统打开新加密盘居然报密码输入错误，而不是报不兼容，真是误导）。

还有，Windows 的管理员账户权限很大的，别看动不动拒绝访问什么的……你至少可以直接获取所有权，然后改成允许完全控制。
实际上感觉和 root 也差不了太多了（笑）。
比如 PCHunter，直接用驱动在内核层里操作，操作文件、注册表，都无视权限……（貌似这类驱动有个绰号叫“穿越驱动”，360、腾讯他们都有做这个）

反正…… LZ 如果真的注意安全，确实应该把控好管理员账户，最好干脆别让别人用你电脑。