请教 windows 加密硬盘 的问题

系统盘不开启 BitLocker 即可，关键文件放到加密的硬盘就行了。
Windows 账户登录密码直接不会影响 BitLocker 加密文件的安全。

你想实现的不是 Bitlocker，而是 EFS。右键文件-属性-高级-加密打开。

@wevsty 那就不能 EFS，得用不透明的加密。

---

@hjc4869 这样是不行的，攻击者拆掉硬盘之后可以直接拿出 EFS 的密钥。

---

楼主：

你需要 TPM，然后 BitLocker 系统盘。

如果你的电脑是多用户，那么你还需要 EFS。

EFS

@wevsty 系统盘我也想加密，因为浏览器的书签、cookie 等私人的东西也不想被人获取到

使用 tpm 模块可以在启动时自动验证启动环境，若没问题，主板可以释放 bitlocker 密钥解密，全程不需交互。

没 tpm 的话，还是想想其他办法吧。
非要使用 bitlocker： 使用 u 盘存放解密密钥，但计算机被盗了的话，解密密钥还不是被直接拿来解密 C 盘，骗自己，而且 U 盘坏了就得麻烦地进行 bitlocker 恢复

不使用 bitlocker 保护吧，万一计算机被人离线注入点什么东西，开机后你解密数据盘，一条命令就把恢复密码搞到手了。而且系统盘不加密，无法使用 bitlocker 自动解密数据盘！

所以在计算机会被其他人物理接触的情况下，TPM 真的是有大用，虽然 TPM 很有可能有 ZF 的后门。以后配计算机 TPM 模块是我的重要选项。

你电脑没有 TPM 吧

你需要 TPM。

@gdtv 要加密系统盘那就没有什么好办法了，只有 TPM

用 ipmi 之类的远程控制

关闭自动更新,上 ups 电源

其实楼主不介意性能差点的话，虚拟机可以解决这个问题。
vmware 的产品直接支持对整个虚拟机硬盘加密。
所以楼主可以直接新建一个加密虚拟机，实体机彻底不加密，这样即使没有 TPM 重启也可以保证 Windows 能顺利起来。
因为虚拟机硬盘文件整个都是加密，所以安全性彻底得到保障。

@geelaw #3 EFS 私钥是用登录口令加密的。

@geelaw 现在 EFS 的密钥不是用登录密码加密的吗？
https://technet.microsoft.com/en-us/library/cc962112.aspx

@billlee
@hjc4869 是我 naif 了

借楼问一下 BitLocker 足够安全吗？

@netfee
随手一搜： https://zh.scribd.com/doc/130070110/Extracting-Encryption-keys-from-RAM
不过有些硬盘支持加密，可能这样就可以避免从内存中 dump 密钥的问题。
EFS 的问题和这个差不多吧，好像直接拿 SYSTEM 账户打开 certmgr.msc 就可以看到私钥的样子。

@netfee 如果登录密码足够靠谱，没泄露也不会被暴力猜解，那 EFS 和 BitLocker 都足够靠谱，除非对方可以通过液氮冷却等方法 dump 内存。

@wevsty 系统盘必须加密，否则……就我知道的，蓝屏 dump，还有休眠文件 hiberfil.sys 就有可能被拿去 dump 内存、读取密钥了。

@netfee 我说的可能有点误导……
想直接提取 EFS 的密钥，必须让目标账户登录一下。没有目标账户的密码，目标账户没登录的话，私钥也是不会被解密的，有管理员权限（比如用 WinPE 开启 Administrator 账号）也没用。