如果你正在使用Win11，请留意磁盘加密

笔者在过去的一年里接到了数个关于“硬盘被加密，数据无法访问”的求助。这类求助往往有以下特征：

• 购买的计算机预装Win11/自行安装了Win11
• 不知道微软账户是什么/没有登录微软账户
• 不知道磁盘加密的存在
• 事发前有过系统升级、磁盘分区操作、调整安全设置、异常断电等情况

而这类用户，就笔者接到的求助来看，全部都没有备份BitLocker恢复密钥，并且也没有登录微软账户。换句话说，数据几乎是不可能恢复的。

磁盘加密是什么？

Win11中，磁盘加密的功能本质上由BitLocker提供。BitLocker是由Windows提供的一项安全功能，微软官网介绍如下：

BitLocker 是一项 Windows 安全功能，可为整个卷提供加密，解决因设备丢失、被盗或不适当停用而导致数据被盗或泄露的威胁。
丢失或被盗设备上的数据容易受到未经授权的访问，方法是运行软件攻击工具，或者将设备的硬盘驱动器转移到其他设备。 BitLocker 通过增强文件和系统保护，在解除或回收受 BitLocker 保护的设备时使数据无法访问，从而帮助减少未经授权的数据访问。
与受信任的平台模块 (TPM) 结合使用时，BitLocker 可提供最大保护，后者是安装在 Windows 设备上的常见硬件组件。 TPM 与 BitLocker 配合使用，以确保设备在系统脱机时未被篡改。

换句话说，这是一种保护磁盘数据安全的功能，可防止其他人擅自访问或改写你的电脑上的文件。由于使用了AES-128或更高强度的加密，除非直接获取到原始密钥，否则破解是几乎不可能的。
在Win11专业版、企业版或教育版的受支持设备上，磁盘加密由BitLocker管理；而在预装Win11系统的个人计算机上，更常见的则是家庭版，该版本上磁盘加密由设备加密功能管理（实际上就是简化界面、设置受限的BitLocker，本质上仍然是BitLocker加密）。若要查看设备加密的情况，请打开开始菜单，并在顶端的搜索框输入“设备加密设置”，然后点击下方的“设备加密设置”结果。
虽然BitLocker能够保护数据安全，但正如“最坚固的锁只怕钥匙”，一旦“钥匙”丢了，“最坚固的锁”将会“把主人拒之门外”。

磁盘加密为什么会启用？

微软先前并未强制启用磁盘加密，但从Win11 24H2（2024年下半年大版本更新）开始，微软将会默认为所有支持的设备（包括家庭版）启用磁盘加密。而在这一策略推行之前，或许是处于用户的数据安全考虑，许多OEM厂商（如*想、*普）已经在设备预装的Win11系统上默认启用磁盘加密。
换言之，如果你现在在使用Win11操作系统，那么你的设备很可能已经启用磁盘加密。
在正常情况下，默认自动配置的“配合TPM的设备加密”对用户来说是无感知的，这是因为密钥被存储于主板上或安全芯片中，每次开机时若安全检查通过，则密钥会被用来自动解锁磁盘加密。只有当自动解锁失效（如更换主板、重置TPM、安全启动失效等）时，计算机才会弹出蓝色的“BitLocker恢复”界面，要求用户输入48位数字构成的恢复密钥。

我应该如何做？

设备加密并非洪水猛兽。我们应当充分了解设备加密的功能与注意事项。
通俗的讲，设备加密的关键在于密钥，一旦密钥丢失，几乎没有人能够找回被加密的数据；一旦密钥泄露，设备加密对数据的保护将形同虚设。

确认你的设备情况

下面，将进行几个步骤来确认一些关于你的设备的情况。

第一步，首先打开设置（开始菜单-（右下角齿轮图标）），然后将窗口最大化。点击左侧的“隐私和安全性”，然后在右侧界面点击“设备加密”。
若你看到如下图的界面，且红框处的开关为如图未打开的状态，则说明该设备上的设备加密未启用，以下内容与你无关，你可以关闭这个页面了。若该开关为打开状态，说明设备加密已启用，磁盘被加密。

又或者你是Win11专业版、企业版或教育版，你可能看到如下图的界面：

此时需要点击下方的“BitLocker驱动器加密”，转到另一个界面。该界面显示了当前计算机上的磁盘加密状态。图中C盘已被加密。

同理，如果你看到所有驱动器都显示“BitLocker已关闭”，则说明该设备上的设备加密未启用，以下内容与你无关，你可以关闭这个页面了。

第二步，重新打开设置（开始菜单-（右下角齿轮图标）），然后将窗口最大化。点击左上角用户头像，转到“帐户”界面。
若你看到的是下图这样的界面（图中第二行“邮件地址”处为你的电子邮箱或手机号，并且你认识这是你的微软账户），则说明你已登录微软账户。确保此处登录的是你的微软账户，且你知道它的密码，并且设置了可靠的账户找回方法（手机、备用邮箱等）。

一些情况下，用户可能认为设置微软账户过于繁琐，使用了本地账户进行了Win11的首次设置。若你看到的界面上，上图“邮件地址”处显示“本地帐户”，则说明你正在使用本地账户，没有登录微软账户。

如果你没有登录微软账户

对于大多数个人用户来说，主要有两个选择：登录微软账户备份密钥，或是关闭磁盘加密。若你对计算机上的数据安全有要求，推荐登录微软账户以备份密钥。

登录微软账户以备份密钥

打开设置（开始菜单-（右下角齿轮图标）），然后将窗口最大化。点击左上角用户头像，转到“帐户”界面。

点击上图中的“登录按键”，并按操作提示完成微软账户登录和PIN设置即可。
然后请转到恢复密钥检查的步骤。

关闭磁盘加密

若你决定关闭磁盘加密，最简单的方法是：在开始菜单图标上右击，然后点击“终端管理员”，并输入manage-bde -off（请直接复制这一条命令）并回车。若是“配合TPM的设备加密”，计算机将自动启动所有已加密磁盘的解密。在终端中输入manage-bde -status并回车可查看所有磁盘的加密状态。当所有磁盘信息均显示“已加密百分比: 0.0%”后，表明解密完成。此后磁盘将处于未加密状态。根据磁盘大小不同，解密可能需要几十分钟到几个小时。在解密完成之前，强烈建议保持计算机通电开机。

如果你已经登录微软账户

此情况下，请确保该微软账户是你的，并且你知道它的密码，且设置了可靠的账户找回方法（手机、备用邮箱等）。
虽然登录微软账户后，密钥一般都会自动备份，但保险起见可以进行额外的一步来确认密钥是否已经正确地备份到微软账户。
在开始菜单图标上右击，然后点击“终端管理员”，并输入manage-bde -protectors C: -get（请直接复制这一条命令）并回车。你将会看到如下图的结果：

然后，请转到https://aka.ms/recoverykey，并登录你的微软账户。在恢复密钥界面，查找与刚刚运行命令结果中“数字密码：ID：”后面8位字符相符的一条记录，并比对后面的恢复密钥是否与刚刚运行命令结果中“数字密码：密码：”后面的数字串完全一致。若不一致，建议手动备份恢复密钥到微软账户，或关闭磁盘加密并重新开启。