以初學者的角度,來看待電腦教學這回事。

標籤: BitLocker

再也不用怕電腦機密資料被偷走,開啟Windows BitLocker功能教學

當你不想讓別人使用你的電腦,或是怕電腦裡的機密資料被偷走,你會怎麼做呢?一般人大概就只能電腦設定密碼不讓人登入而已吧!

在Windows中很早以前,就有提供一個方式來解決這個問題,也就是「BitLocker」,開啟這個功能之後,如果電腦被偷走,硬碟裡的資料就無法被讀取出來,只能重灌系統而已,所以不用怕機密資料被偷走。

但並不是每台Windows都有這個功能,這功能只有在「專業版(Pro)」以上的Windows版本才有,如果你的Windows是家用版(Home),就沒有辦法使用這個功能了。

開啟BitLocker的步驟

Step 1. 打開「本機」,然後在系統磁碟「C槽」上按滑鼠右鍵,然後在選單中點選「開啟BitLocker」,如下圖:

Step 2. 接著「選擇啟動時如何解除鎖定磁碟機」,這邊有兩種解鎖的方式,一種是「USB快閃磁碟機」,另一種是「輸入密碼」,如果你想要把「USB隨身碟」當成鑰匙,就選擇「插入USB快閃磁碟機」,如果你想要透過一組密碼來解鎖,就選擇「輸入密碼」,這邊我們示範用USB的方式,如下圖:

Step 3. 接著插入你想要變成鑰匙的USB隨身碟,該USB隨身碟不需要特別清空裡面的資料,當成鑰匙的隨身碟,Windows只是會放一個很小的隱藏檔案進去隨身碟而已,插入之後,選擇該隨身碟,再按下〔儲存〕,如下圖:

Step 4. 接著要備份「修復金鑰」,所謂的修復金鑰,就是另一組密碼,有什麼用處呢?

就是當你用來開機的金鑰隨身碟,或是要用來開機的密碼,「遺失了」、「壞掉了」、「忘記了」,到時就可以利用這組密碼來開機,這個修復金鑰,也就是一個備胎的意思。

一個想法給大家思考一下,我們使用BitLocker,為的是安全性與私密性,所以我會希望金鑰只能有一個,才不會整天疑神疑鬼的,要是我搞丟這個金鑰,就自己承擔這損失,所以平常的資料備份做好,就不用擔心哪天會有這狀況發生。

Windows這邊提供了許多方式來儲存「修復金鑰」,如下圖:

通常我都會把開機金鑰和修復金鑰放在一起,甚至不要保留修復金鑰。

Step 5. 接著「選擇要加密的磁碟機大小」,這邊你可以詳細看一下說明,簡單的說,就是新電腦的話,就選擇「只加密已使用的磁碟空間」就好,如果不曉得該怎麼選,就選「加密整個磁碟機」,如下圖:

Step 6. 接著要「準備開始加密此磁碟機」這個階段,這個階段很重要,維持「執行BitLocker系統檢查」的勾選狀態之後,插上剛才製作好的金鑰隨身碟之後,再點擊〔繼續〕,如下圖:

之所以這個階段很重要,就是這一次要測試BitLocker功能是否正常的運作,重新開機之後,Windows系統會讀取一次USB金鑰隨身碟,如果成功,才會開始對磁碟進行加密的動作,如果失敗的話,就不會進行加密。

所以一定要做一次這個動作,因為電腦不見得能讀取金鑰隨身碟,接著就按下〔立即重新啟動〕。

Step 7. 如果BitLocker的功能有測試順利,在重新開機之後,就會自動開始進行磁碟加密的動作,你可以點擊右下角的這個BitLocker圖示,查看目前加密的進度,如下圖:

整個開啟BitLocker的流程,大致上就如上。

此裝置無法使用信賴平台模組,在不含相容TPM的情形下允許使用BitLocker

如果你的電腦BIOS沒有開啟「TPM(信賴平台模組)」,在啟動BitLocker時,就會出現以下「此裝置無法使用信賴平台模組。您的系統管理員必須在OS磁碟區的「啟動時需要其他驗證」原則中設定「在不含相容TPM的情形下允許使用BitLocker」選項」錯誤訊息,如下:

解決辦法

Step 1. 開啟「開始功能表」,並輸入「gpedit.msc」,如下圖:

Step 2. 開啟「本機群組原則編輯器」之後,依序點開「電腦設定」\「系統管理範本」\「Windows元件」\「BitLocker磁碟機加密」\「作業系統磁碟機」,接著使用滑鼠雙點擊「啟動時需要其他驗證」,如下圖:

Step 3. 直接勾選「已啟用」,在下方選項中的「在不含相容TPM的情形下允許使用BitLocker(USB快閃磁碟機需要有密碼或啟動金鑰)」,最後按下〔確定〕,如下圖:

完成之後再次去重新執行「BitLocker」,就可以解決這個問題。

BitLocker安裝程式無法匯入BCD(開機設定資料)存放區?

BitLocker磁碟機加密

在專業版的Windows,例如Windows 10專業版、Windows 7 專業版、企業版、旗艦版,都會有提供一個叫「BitLocker磁碟機加密」的功能。

這個功能可以讓我們將磁碟整個加密,並且可在開機時,選擇適合自己的驗證方式(密碼、金鑰…等),也就是必需通過這個驗證,你才有辦法進入到Windows中,如果沒辦法通過的話,就算是你拿了整顆硬碟,你也沒辦法取得裡面的任何資料。

BitLocker安裝程式無法匯入BCD存放區

這個功能我已經用了好幾年的時間,也幫過很多台電腦開啟這個功能,直到最近在弄一顆「Windows 10 WTG(Windows to go)」的行動硬碟時,在安裝Windows 10是沒什麼問題,但只要一開啟BitLocker時,居然就會出現「BitLocker安裝程式無法匯入BCD(開機設定資料)存放區。您可能需要手動準備磁碟機以進行BitLocker。

每次都是到進行到「正在準備進行BitLocker的磁碟機」時,就會發生錯誤訊息,我發現到它這個工具在幫我們建立新的系統磁碟機之後,接著想要把程式放進BCD時發生錯誤。

由於我們在建立這種Windows To Go的環境,且利用DISM來佈署Windows時,都只建立一個Primary的Partition,但如果我們是透過正常Windows安裝媒體來安裝,且在分割磁區時,Windows總是會主動幫我們分割一個系統專用的區域(System Reserved),如下圖:

但要怎麼自己分割這個區域,且讓Windows能去使用它,這個我還真的不會。

因此,我就想到一個方式,就是不使用DISM來部署Windows,而是改用Windows安裝媒體來安裝Windows 10,在安裝程式將Windows安裝檔案放進硬碟之後,就把電腦關機,然後把硬碟放回USB行動碟中,接著讓Windows安裝程式完成之後的動作。

沒想到這個想法,居然有用,以下是詳細的操作。

BitLocker的BCD錯誤解決方式

在使用Windows To Go時,我們通常都是利用行動硬碟,所以我們會使用diskpart指令,只分割了一個Primary的磁區,接著使用DISM指令,部署了Windows 10安裝程式進去這個Primary的磁區。

由於缺少了System Reserved的磁碟區,所以BitLocker安裝程式,會主動分割一個System Reserved的磁碟區,並且將BitLocker程式放進去,但有時居然會發生,BitLocker放不進去自己所建立的System Reserved磁碟區裡。

因此,我們可以先把USB行動碟裡的「硬碟」取出來,先用主機板上的SATA排線接上,並且做用Windows安裝媒體(光碟或Flash隨身碟)來安裝Windows 10。

安裝Windows 10的文章可以參考「如何重灌WINDOWS10作業系統教學?」,但我們並不要做完文章中整個動作,而是只要完成「安裝階段」的過程,而重點就是在分割磁碟區時,要讓Windows安裝程式去建立它所需要的碟碟區,如下圖:

在按下〔確定〕之後,Windows就會去建立它所需的這些磁碟分割,如下圖:

也許你在操作時,Windows 10可能只額外建立一個「系統」磁碟分割,那也沒關係。

然後繼續安裝Windows,但記得在第一次Windows安裝程式要重新開機時,就立即把電腦的電源關閉,並且把這顆硬碟取出來,絕對不可以讓Windows開機進行設定的動作,要不然你的Windows To Go環境就會建立失敗。

最後再把SATA排線上的硬碟接回USB行動碟中,再由USB 3.0的行動碟來開機,接著完成「設定階段」後的工作。

這樣再去執行BitLocker安裝的動作時,就不會再有問題了。

另外補充,如果想要試另一個方法的話,可以看這篇國外的文章,我覺得應該也是可行。

Powered by WordPress & Theme by Anders Norén