标签: bitlocker

我最近在没有 TPM 的基于 AMD 的旧机器上安装了 Windows 10 Enterprise。由于缺少显示器和键盘，我主要通过远程桌面使用它。

通过 RDP 连接时，我然后：

• 启用了允许 BitLocker 没有 TPM 的本地策略。

• 然后尝试打开 D 驱动器上的 BitLocker，这是一个单独的物理 3TB 驱动器，新格式化为 2TB，是操作系统硬盘上的一个单独的 NTFS 分区。

编辑：我很抱歉。D: 驱动器不是单独的物理驱动器，它是与操作系统位于同一物理驱动器上的单独 NTFS 分区。

我得到的只是一条错误消息，说访问被拒绝：

没有太多运气谷歌搜索，但发现如果我直接连接到计算机（即不是 RDP，而是单独的显示器、键盘和鼠标），BitLocker 将立即启用，提示输入密码和恢复文件位置，正如您所期望的.

编辑：E: 驱动器（它是单独的物理 3TB 驱动器新格式化为 2TB）上的行为是相同的。BitLocker 在直接连接时启用，但不能通过 RDP 连接。

通过 RDP 重新连接到计算机后，我发现它可以让我管理 D 盘（或 E: 盘）上的 BitLocker，包括将其关闭和更改密码。

它还可以让我在 C 驱动器（操作系统驱动器）上通过 RDP 打开 BitLocker。

这不仅仅是一个小故障 - 我能够关闭 BitLocker，从而解密驱动器（它是空的），然后像以前一样再次收到拒绝访问消息。

同样，一旦通过直接连接启用，一切都再次通过 RDP。

为什么在两张光盘上会有所不同？

编辑：我认为没有任何驱动器被识别为可移动媒体：

尽管很奇怪，但它们都在设备管理器列表的下方显示为可移植的。

我使用 BitLocker 加密了我的常规磁盘，但我无法使用我拥有的任何 USB 驱动器进行加密。当我在 Windows 资源管理器中选择磁盘时，这些驱动器上没有右键单击菜单“管理 BitLocker”，并且在其下方的状态栏中指出：“BitLocker 状态：不可加密”（参见屏幕截图）。

我已经尝试重新格式化驱动器，删除并重新创建卷，但没有任何帮助。

我的情况

我知道 bitlocker 是为了加密整个驱动器，但我有一个已经完全分区并包含数据的硬盘驱动器。
我想加密一个分区的一部分，让分区的其余部分可以访问。

我非常希望避免使用 Norton partition magic（调整大小/拆分分区）之类的程序，因为每次使用它们时，我都会遇到存储数据的问题。

题

是否有任何方式/内置替代/第 3​​ 方应用程序与 Windows 登录集成以加密分区的一个子集？

编辑

我听说过关于 EFS 的恐怖故事，这就是为什么我不想使用它，除非Windows 8 的可靠性有所改进。
那篇文章的一些亮点：

事实上，过去十年我只在自己的计算机上使用过两次 EFS，两次都丢失了文件和文档。因此，我不建议您使用此 Windows 功能加密文件。

不幸的是，由于与某些不同版本的 EFS 文件不兼容，最终可能会出现乱码且无法恢复。

我有一个 ASUS P8P67 DELUXE 主板，它（据我所知）没有配备 TPM 模块，所以我不能在没有 PIN 或 USB 密钥的情况下使用 BitLocker。

有没有办法自己购买和安装TPM模块？

我有一个用 NTFS 格式化并用 Bitlocker (Windows 10) 加密的外置硬盘 (WD My Passport Ultra)。插入驱动器后，我无法再使用“弹出”移除驱动器。错误是“Windows 无法停止设备‘USB 大容量存储设备’。请勿在此设备仍在使用时移除它。关闭使用此设备的所有程序，然后将其移除。”

如果我使用Process Explorer查看打开的文件（搜索“ J:”），我会看到正在使用的文件是：

• J:\System Volume Information\FVE2.{...}
• J:\System Volume Information\FVE2.{...}.1
• J:\System Volume Information\FVE2.{...}.2
• J:\$Extend\$RmMetadata\$TxfLog\$TxfLogContainer0000000000001
• 等等..

我认为这个问题与之前（弹出 USB）问题不同的原因是FVE2文件似乎特定于 Bitlocker。

我的问题是，是什么导致了这个问题，在没有第三方程序强制关闭所有文件句柄的情况下弹出这个外部硬盘的正确方法是什么？由于这是一个加密驱动器，我对可能会破坏加密密钥或驱动器格式的强制关闭文件句柄更加偏执。我应该使用 exFAT 而不是 NTFS 吗？

我试过的：

1. 确保为驱动器禁用“还原点”功能。
2. 确保驱动器设置为“快速移除”。
3. 再次使用 NTFS 重新格式化驱动器并使用 Bitlocker 重新加密。
4. 尝试另一台计算机（同样的问题）。

我正在考虑使用 BitLocker 加密我的 Windows 10 笔记本电脑（尽管我对其他版本的答案也很好奇）。如果我开始这个过程，我想这需要一段时间，因为我的系统驱动器上有很多数据。发生这种情况时，我还能使用我的笔记本电脑吗？

我有一台 Windows 10 Pro PC，没有域，我不在系统驱动器上使用 BitLocker，但使用 BitLocker 和密码（无 TPM）加密了一些固定数据驱动器。

当我想解锁这些驱动器时，我可以在文件资源管理器中选择它们并选择Unlock Drive...，输入密码后驱动器被解密，我可以使用它。

因为我有几个使用相同密码的驱动器，所以我编写了一个脚本来同时解锁所有驱动器。

Unlock-BitLocker -MountPoint X: -Password $myPassword

当以提升的管理员身份执行时，这可以正常工作，但是当我以普通标准用户身份运行脚本时，它会失败：

Get-CimInstance ：访问被拒绝

WBEM_E_ACCESS_DENIED (0x80041003) 当前用户无权执行该操作。

我假设文件资源管理器和 PowerShell BitLocker 模块使用相同的 Win32 API，为什么一个作为标准用户工作而另一个不工作？

使用时：

manage-bde –unlock E: -rp password

我得到：

BitLocker Drive Encryption: Configuration Tool version 10.0.14393
ERROR: An attempt to access a required resource was denied.
Check that you have administrative rights on the computer.

使用进程监视器，我可以看到对以下注册表项的访问被拒绝：

HKLM\Software\Microsoft\WBEM\CIMOM

我还发现文件资源管理器内容菜单调用可执行文件：

%systemroot%\System32\bdeunlock.exe

它显示了输入密码的小弹出窗口。

当使用bdeunlock.exe无访问权限时HKLM\Software\Microsoft\WBEM\CIMOM，进程监视器中会显示。因此，它似乎无需访问该密钥即可解锁驱动器。

看起来 PowerShell cmdlet 和manage-bde.exe使用 …

我无法让 BitLocker 识别 USB 闪存驱动器。
它以前启用了 BitLocker，它通过格式化被删除，现在我想重新启用它。

问题是该选项不再显示在右键单击上下文菜单中。
BitLocker 管理应用程序似乎也不会将其识别为闪存驱动器。

我格式化了几次驱动器。使用 NTFS 和 exFat 无济于事。

我最近使用 Bitlocker 加密了我的 Windows 10 Pro 笔记本电脑系统驱动器和可移动备份驱动器。

我已经获得了文本文件形式的恢复密钥副本，并将它们存储在安全的地方，并通过我的登录帐户将其备份到 Microsoft 网站上。

然而，由于有点偏执（有经验？！），我想验证备份密钥在我需要时是否确实有效。如何测试/验证我的密钥是否与恢复系统在真实恢复场景中所需的密钥相匹配？

我最近在 BIOS 中启用了固件 TPM，以查看我的系统是否与 Windows 11 兼容。

我的问题是关于启用固件 TPM 时收到的以下警告：

英特尔 PTT 是集成在英特尔 ME/CSME/TXE 中的硬件 TPM 2.0 实现，用于凭证存储和密钥管理。启用 Intel PTT 和 Windows BitLocker 以进行驱动器加密后，固件 TPM 密钥将存储在 Intel ME 数据区域中。请注意，当恢复密钥丢失或更换 BIOS ROM 芯片时，系统将无法启动进入操作系统，数据将保持加密状态且无法恢复。

以下是我的问题：

1. 由于我从不想启用 BitLocker 并且我只启用了 TPM 以便我将来可以升级到 Windows 11，因此对于我的情况可以忽略此警告吗？

2. “一旦您启用英特尔 PTT 和 Windows BitLocker 进行驱动器加密，固件 TPM 密钥将存储在英特尔 ME 数据区域中。”

   这个“英特尔 ME 数据区域”将位于何处？这听起来不像我可以使用 Windows 资源管理器获得的东西。

   另外，“固件 TPM 密钥”有什么用？

3. “请注意，当恢复密钥丢失或更换 BIOS ROM 芯片时，系统将无法启动进入操作系统，数据将保持加密状态且无法恢复。”

   关于“什么时候更换BIOS ROM芯片”，是不是意味着开启BitLocker的用户应该先关闭再更换BIOS ROM芯片？

   如果是这样，如果他们在关闭 BitLocker 之前犯了更换 BIOS ROM 芯片的错误会怎样？他们可以将旧的 BIOS ROM 芯片放回原处并关闭 BitLocker，还是只是永久加密他们的系统？