Windows 怎样加密用户目录？

有 TPM 的情况下 Bitlock 可以无感开机，指纹无影响
无 TPM 需要改注册表才能加密，开机需要先输密码再用指纹解锁

可以试试 NTFS 的加密功能，没记错的话加密密钥是分用户的。

BitLocker 不会影响指纹，但是需要有 TPM 不然开机要输密码
文件加密可以试试加密文件系统 EFS，右键文件加密，但是不要把整个主目录加密了，可能会有问题，只加密敏感文件

EFS: 使用用户证书加密文件内容, 请注意: 只加密内容, 文件名称是能够看到的. 证书(大概)由 Windows 用户登录密码保护.
个人觉得: 只加密部分文件没啥用, 考虑一下别人离线往 system32 里整个木马, 自启动等待你输入密码登录后拷文件.


建议:
Bitlocker 全盘加密, 根据情况启用以下 bios 功能:
- secureboot: 避免 boot-kit 攻击 /伪造 BitLocker 预启动界面来窃取密码.
- tpm: 用以验证并自动解锁 C: 盘, 实现无交互启动, 每次启动输入密码(BitLocker)反而可能存在风险, 尤其是公共场合.
- 设置 bios/固件密码, 避免其他人去改 secureboot 设置, 或清除 tpm.


- 可选: 针对 tpm 的攻击手段不少, tpm 自动解锁存在风险, 尤其是你身边有一堆精通 EE & CS 的高手(狗头保命;;). 若担心此类风险, 可以使用 bitlocker pin + tpm 来缓解一些安全风险, 甚至可以启用最强三重验证: tpm+pin+u 盘.
不过, bitlocker tpm 自动解锁已经可以挡住 9 成以上的恶意行为了.若周围没有搞安全的大神, 其实可以放心用 tpm 自动解锁.


- 可选: 加强生物识别验证(人脸 /指纹): 使用生物特征验证+pin 双重验证登录, 比单纯的指纹或 pin 的安全性高一些.但不方便了.


总结:
建议用 bitlocker 全盘加密, 可以用 tpm 自动解锁(开机不需要输入 bitlocker 密码), 或者 tpm+pin 验证(开机必须输入 bitlocker pin).
bitlocker 和指纹没半毛钱关系, 互相没影响的.
tpm 会影响到指纹 /Windows hello pin(和 bitlocker pin 区别好), 以及 bitlocker 的工作行为. 但只要别去清除 tpm 就没啥事.

才发现写了一堆, 感觉有点乱, 主要是相似词语太多了:

EFS 证书
Windows 用户密码
Windows hello pin

bitlocker 解锁证书
bitlocker pin
bitlocker 解锁密码

🤣

EFS，不过记得别乱删证书。。。

veracrypt

- 为什么 MS 不设计成，用户密码加密用户目录？
因为 EFS 既不好用, 只加密用户 home 又不安全.


bitlocker 中, tpm 是可选的,没有 tpm 只是安全性一定程度下降低, 你可以使用 u 盘自动解密 bitlocker, 每次开机时插上 u 盘即可.


6 代以后的 cpu 配套主板芯片组 intel 基本都在推 fTPM 了的, 笔记本也是, bios 里面找一找 intel ptt 或者 ftpm 的选项呢.


台式机的 tpm 也不是你想加就能加啊.


笔记本和台式机都能自行购买 Windows hello 指纹或人脸摄像头, usb 接口的.

@Osk 大致了解了
bitlocker 大致了解，可以有恢复密钥； TPM 有类似的备份机制吗？（防止意外或者硬件损坏）
听说开启 TPM 后本机硬件或者 BIOS 变化会触发 BitLocker 恢复模式

bitlock 加密后的硬盘，更换到其它电脑……会怎样？

@circsqua TPM 本身好像不给备份的, 应该是 tpm 设计上就不会轻易让人备份里面的明文内容.

硬件变化, bios 更改关键安全设置等会触发 BitLocker 恢复, 此时需要输入 40 位的数字恢复密码.

bitlocker 加密后的盘, 在其它计算机上输入密码 /恢复密码(40
位的数字密码)即可解锁, 解锁后即可以根据需要设置是否自动解锁, 所以一般是让备份恢复密码的, 可以备份于本地文件, 或者存到 OneDrive 里面.