从 Vista 开始就有的 BitLocker ，经历了这么多代，还不能在分区格式化一开始就加密？

那只是安装界面没提供加密选项吧？应该可以用别的途径开启加密后再安装。

可以在 PE 开了 bitlocker 再安装系统
当然，这样可能会出现一些写入错误

往好里想，至少你刚装完的系统没什么需要纠结「将明文文件真正从硬盘擦除」的。

有全盘加密和仅加密使用空间

2# 的方法可以试下。

给企业用的无人值守安装是可以在系统部署时就启用 bitlocker 的。

至于为啥个人用户没提供。我觉得一方面你可以在全新安装 windows 并写入敏感数据前就启用 bitlocker ，这并不会有假删除的问题。另一方面，TPM/智能卡 /AD 网络解锁可能需要安装特定的支持软件和驱动程序，不太好预配。

另外如果你信任 SSD 厂商，可以考虑启用基于硬件加密。例如三星的 SSD 硬件加密从"准备启用"转为“启用”是需要用专用工具执行一次 Secure Erase 的，我感觉之所以有步是因为这次 Secure Erase 后实际上是已经全盘加密了。

你可能需要一块支持 opal 的 ssd

我记得我的 surface 的专用恢复镜像弄完应该就是加锁的

@zed1018 是的 他是用 recovery 恢复的，我做过这样一个镜像！但是这个 recovery 不同于安装程序，他不能分区，直接就全盘给干了！而且并不是所有机器都会装好就开 bitlocker ，要求有 tpm 和 secure boot