Saber 酱的抱枕

Fly me to the moon

04/2
2025
软件

启用了 BitLocker 磁盘加密

启用 BitLocker 磁盘加密的体验 no_lazy

微软的 BitLocker 磁盘加密经常被人骂,原因主要是在新机安装系统后,登录微软账号时貌似会自动开启,很多人都没意识到这件事,而且不知道密钥保存在哪里。其实我觉得主要是 PC 平台本身就比较开放,才会因为更换硬件、拆装硬盘等原因导致需要输入恢复密钥。你看手机平板之类都是自动开启加密的,但不会遇到需要手动输入恢复密钥的情况,所以对用户来说是无感的。

不过现在我倒打算开启试试,给数据加把锁。

准备加密

我先问了 ChatGPT:启用 BitLocker 加密对系统和硬盘的性能影响有多大?它说在现代 CPU 和 SSD 里,加密后性能损失极小,特别是在读取时几乎没有影响。这样我就放心了。

然后我在 Windows 设置里搜索 “BitLocker” 打开设置:

启用 BitLocker 磁盘加密的体验

一开始我的两个硬盘都是没有加密的。点击盘符,选择“启用 BitLocker”,就可以准备进行加密:

启用 BitLocker 磁盘加密的体验

我先加密了系统盘,之后是数据盘。

在加密系统盘时,会先提示我保存密钥文件:

启用 BitLocker 磁盘加密的体验

如果选择保存到 txt 文件,那么不能存放到本机硬盘上,只能保存到可移动介质上。比如我保存到 E 盘会报错:

启用 BitLocker 磁盘加密的体验

虽然这可能是为了避免“钥匙锁在屋里”的情况,但很蛋疼,也许只能保存到 U 盘或移动硬盘里。

之后我选择了打印恢复密钥(保存到 PDF 文件),没有上面的限制,可以随便保存。我保存之后就马上传到网盘里做了备份。

在加密数据盘时,第一个步骤是询问解锁方式,我选择了自动解锁。

启用 BitLocker 磁盘加密的体验

不过在加密系统盘时没有这一步,应该是系统盘会默认自动解锁。

数据盘的保存恢复密钥选项更多:

启用 BitLocker 磁盘加密的体验

在加密系统盘时我没有看到 U 盘的选项。

之后一路默认就可以了。

在开始第一次开始加密前,向导建议我重启计算机以验证 BitLocker 系统是否可以正常运行,于是我就重启了。重新登录系统后,BitLocker 就开始自动加密了。

加密过程

加密进度:

启用 BitLocker 磁盘加密的体验

需要注意的是,重启登入系统后,前三分钟里非常卡顿,右下角托盘的自启动程序很久都没加载出来,而且大部分操作也都很卡,就连打开任务管理器也会未响应一会儿。还好过了三分钟左右恢复正常了,之后我打开了多个常用软件正常使用电脑,没有再感觉到卡顿。(但是在加密过程中玩游戏的话加载会很慢,因为加密程序正在对磁盘进行持续读写)

加密是由 System 进程处理的,它只占据不到 2% 的 CPU 使用率:

启用 BitLocker 磁盘加密的体验

所以一开始的卡顿可能是在对硬盘或文件做一些特殊处理导致的?

加密时会对磁盘进行持续的读写:

启用 BitLocker 磁盘加密的体验

查看加密状态

使用管理员权限运行命令 manage-bde -status C: (最后是盘符)可以查看一个分区的 BitLocker 状态。在加密或解密时,也可以查看进度:

启用 BitLocker 磁盘加密的体验

加密完成

启用 BitLocker 磁盘加密的体验

在加密时和加密后,只要是处于解锁状态,硬盘图标上都会显示一个开着的锁:

启用 BitLocker 磁盘加密的体验

加密完成后,在 BitLocker 的设置面板里,两个硬盘的可用操作不同:

启用 BitLocker 磁盘加密的体验

系统盘多了个“暂停保护”的操作,但没有数据盘中间的三个操作,包括“禁用自动解锁”。看来系统盘确实是默认自动解锁的,以免每次启动都要输入密钥?

加密用时

有个情况是我事先没有预料到的,就是加密所需的时间比较久。C 盘一开始的读写速度有 400 MB/s,但后来经常只有 100 多 MB/s,我估计全程平均也许也只有 200 MB/s 左右。D 盘也差不多。

我是半夜开始加密的,看到加密需要很久,就把电脑挂了一夜。一觉醒来,终于完成加密了。

我在事件管理器里查看 Windows - 系统日志,计算了加密花费的时间。

启用 BitLocker 磁盘加密的体验

  • C 盘 3.41 TB 数据,加密用时 6 小时 10 分钟 24 秒(22224 秒),平均速度 160 MB/s。
  • D 盘 1.36 TB 数据,加密用时 1 小时 52 分钟 43 秒(6763 秒),平均速度 210 MB/s。

C 盘的数据量是 D 盘的 2.5 倍,用时是 D 盘的 3.29 倍。我想这应该是因为 C 盘是系统盘,有许多琐碎的小文件导致的。比如系统文件、安装的软件、聊天软件的缓存等。

PE 里的表现

我在系统上安装了微 PE,在系统启动时有个进入 PE 的选项。加密 C 盘不会影响进入 PE,因为硬盘上除了 C 盘还有 EFI、恢复分区等,这些是没有加密的。

我打开了解锁 Windows 用户、修改密码的软件,果然没法用,安心~

FirPE Windows PE


双击分区可以输入密钥来解锁硬盘,我试了下成功了:

启用 BitLocker 磁盘加密的体验

启用 BitLocker 磁盘加密的体验

PS:恢复密钥是 6 位 * 8 组 共 48 位数字。保存的密钥里有横线 - 连接,在输入密钥时不需要输入横线 -,只需要输入数字。

PS:我还试了下 OneDrive 文件夹在 PE 里的表现,可以正常进入并浏览所有文件,但是我试了图片、txt 等都打不开:

启用 BitLocker 磁盘加密的体验

启用 BitLocker 磁盘加密的体验

看起来是 OneDrive 里的所有文件都无法在 PE 里打开。我不清楚是否可以通过修改权限等方式使其正常打开。

坑爹:调整分区大小时,需要重新加密解密

加密时 C 盘花费了 6 个小时,如果以后需要取消加密,那么也会花费差不多的时间。如果解密 + 加密再来一套,那就得 12 个小时了。

什么时候会遇到需要取消加密的情况呢?我现在就遇到了,因为我想划分一个很小的分区(比如 5 GB),它不加密,把一些软件放进去,这样在 PE 里可以从这个分区里使用一些必要的软件,而无需解锁加密的分区(毕竟输入密钥太麻烦了)。

由于我的硬盘空间都已经创建了分区,所以只能调整已有分区的大小,空出来 5 GB 空间,这样才能建立新的分区。

但是坑爹的地方来了,要调整 BitLocker 加密的分区大小,就得先解密。这个解密就是把所有数据都处理一遍,所以耗时和加密差不多久。

我后悔了,与其花费 12 个小时来解密、调整分区、加密回去,还不如直接输入密钥来解锁分区。但是一旦开始解密,就无法取消,我只能等它完成了。

启用 BitLocker 磁盘加密的体验

3.6 TB 的 C 盘,解密速度经常只有 200 多 MB/S,解密太慢了。

而且还无法取消解密,没有取消或停止的按钮:

启用 BitLocker 磁盘加密的体验

虽然我搜索到有一些命令可以尝试强行中止解密,但可能会导致数据无法访问,所以我也不敢中止,只能等着它完成了。

所以我得到了教训,如果以后有可能用到一个无加密的分区,那么就在启用 BitLocker 之前预先创建好。否则会浪费大量时间。

系统盘未加密时,其他盘不能自动解锁

我在前面进行分区时解锁了系统盘,之后当我再进入系统时,发现数据盘每次都要手动解锁:

启用 BitLocker 磁盘加密的体验

在 BitLocker 设置里看到数据盘没有启用自动解锁,并且点击”启用自动解锁“会报错:

启用 BitLocker 磁盘加密的体验

原因是系统盘未加密时,其他盘不能自动解锁,每次开机后都是锁定的。

要想启用自动解锁,就需要给系统盘也启用 BitLocker 加密。

启用了 BitLocker 磁盘加密

  1. aki
    Google Chrome 136Google Chrome 136Windows 10/11Windows 10/11

    最近还真被坑过....老电脑被傻逼微软强制更新,卡在98%死活不动弹。进安全模式恢复出厂模式说错误,等了几个小时,终于等到升级系统自行回退,结果回退也卡98%了。最后终于乱操作之下成功恢复出厂模式,外加的硬盘上了锁不能打开也不能格式化。微软账号挺久没用了,手机号还是之前的,就只能等一个月了。

    回复
    1. saber 文章作者
      Google Chrome 136Google Chrome 136Windows 10/11Windows 10/11

      这么惨
      还好我是一直用微软账号的,不会忘记密码

      回复
  2. deal
    Google Chrome 90Google Chrome 90Android 12Android 12

    不喜欢加密.因为被勒索病毒坑了好几次.
    现在我都是系统加了冰点还原
    D盘删掉盘符(不知道有没有用,如果没有挂载命令因该有用),其实我在想一个机箱能够有控制硬盘供电功能更接近我的想法

    回复
    1. deal
      Google Chrome 90Google Chrome 90Android 12Android 12

      这个是我远程windows时用的,体验感觉ios的客户端体验比android好太多.
      我想起自己的office365 E5因为早年应用程序指向了一个网站,后来不用了,自己忘了删了,后来那个网站被认为是诈骗,指向那个网站的人的E5全部强制许可过期,即使已经续过了,当时被迫下了8T左右的数据

      回复
    2. saber 文章作者
      Google Chrome 134Google Chrome 134Windows 10/11Windows 10/11

      这是正常加密,又不是勒索病毒搞破坏的加密~
      虽然不能控制硬盘断电,但是可以在磁盘管理里把它脱机吧

      回复