BitLocker是Windows的内置磁盘加密工具,通常与TPM(受信任的平台模块)一起使用。但有时,用户可能希望使用密码模式,而不是TPM来加密系统盘。(注:TPM 模式不安全,有时甚至可被 PE 直接读取,形同虚设)以下是如何使用manage-bde
命令从TPM模式切换到密码模式的步骤:
1. 调整组策略
- 按
Win + R
键,输入gpedit.msc
,然后按Enter键打开本地组策略编辑器。 - 在左侧导航窗格中,依次展开
计算机配置
>管理模板
>Windows组件
>BitLocker驱动器加密
>操作系统驱动器
。 - 双击右侧的
启动时需要附加身份认证
策略。 - 选择
已启用
,然后在下面的选项中选择要使用BitLocker而不需要TPM(需要密码或启动密钥)
。 - 点击
确定
保存更改。
2. 使用manage-bde切换到密码模式
- 打开命令提示符(以管理员身份)。
- 输入以下命令以清除TPM保护密钥:
manage-bde -protectors -delete C: -type TPM
- 然后,添加一个密码保护器:
manage-bde -protectors -add C: -pw
当提示输入密码时,输入您希望用于加密驱动器的密码。
完成上述步骤后,您的系统盘将使用密码模式进行BitLocker加密,而不是默认的TPM模式。
3. 测试密码模式
为了确保密码模式正常工作:
- 重新启动计算机。
- 在启动时,系统应该提示您输入BitLocker密码。
- 输入您设置的密码。如果一切正常,您应该能够顺利进入Windows。
实际上,BitLocker 的恢复密钥也是一种“密码保护器”,可以删除(以防止他人从微软账户获取恢复密钥)。
manage-bde -protectors -delete C: -type RecoveryPassword
Discussion (0)