對于一般人來講，全盤加密也許并不必要；然而，如果你需要處理像商業機密和不希望被其他人看見的隐私的話，那麼全盤加密就顯得很有必要了。

全盤加密的意義有以下兩個：

1、淘汰舊電腦的時候，舊電腦硬盤上遺留的機密數據不會被有心人士挖掘出來并公之于衆；

2、隻要加密強度設置地足夠高，無論是執法人員還是那些企圖盜取數據的不法分子都無法獲取他們想要的數據。

對于Windows平台，這裡我介紹一種系統自帶的全盤加密方法：

UEFI啟動方式：BitLocker加密。某些設備像Surface系列出廠就默認開啟了，這裡讨論的是那些默認不開啟的電腦。

Legacy啟動方式：使用開源加密軟件，如VeraCrypt（TrueCrypt的分支項目）。

當然，隻要滿足一定條件，Legacy啟動方式下也可以使用BitLocker加密。

首先，介紹BitLocker加密如何操作。BitLocker加密功能不适用于家庭版的Windows Vista/7/8/8.1/10。BitLocker加密最好在至少Windows 8專業版或企業版下完成，這裡使用Windows 10專業版來演示。

理論上講Windows Vista商業版/企業版/旗艦版、Windows 7專業版/企業版/旗艦版、WES7也可以BitLocker全盤加密，但是無法在開機輸入普通的解密密碼解密，隻能使用TPM芯片、密鑰盤和難以記憶的恢複密鑰來解密。

在系統盤按鼠标右鍵，選擇啟用BitLocker。

很多人的電腦都沒有TPM芯片，會收到這個提示。商用級别的電腦一般會具備TPM芯片，可以正常進行步驟。

将它關閉，運行組策略管理器（gpedit.msc）。

依次展開計算機配置下的"管理模闆"、"Windows組件"、"BitLocker驅動器加密"、"操作系統驅動器"。

打開"啟動時需要附加身份驗證"。将其配置成"已啟用"，并開啟"沒有兼容的TPM時允許BitLocker"。如果你的電腦有TPM芯片但不想利用硬件自帶的TPM芯片來實現開機自動解密，那麼将配置TPM啟動改成"不允許TPM"，其餘保持默認，确定。

如果你想提高加密的安全性，依次展開計算機配置下的"管理模闆"、"Windows組件"、"BitLocker驅動器加密"，裡面有"選擇驅動器加密方法和密碼長度"。

對于Windows Vista到Windows 10首個正式版，建議選擇AES 256位。

對于Windows 10版本1511（TH2）和以上版本，建議按照下圖配置。

修改成256位加密之後，加密所需時間可能會比使用128位加密更長，但是為了獲取更高的安全性，這是十分值得的。

這個時候應該就可以加密了。

執行到這個步驟的時候，系統會問你是打算利用U盤解密還是輸入密碼解密。

個人比較推薦使用密碼來解密。

輸入一個強密碼，這個步驟不用我多說了，越複雜越好，越沒規律越好，不要設置成你的生日，手機号之類的簡單密碼。

最後系統會問你将恢複密鑰保存到哪裡。

如果使用的是Windows 8或以上版本，你可以保存到微軟賬戶上。你也可以保存到U盤上或者是移動硬盤上，或者是打印下來（不推薦）。

删除恢複密鑰，就等于切斷了你救回數據的重要途徑。

如果使用的是Windows 8或以上版本，系統會問你是加密已使用空間還是整個驅動器。

這裡我們使用"加密整個驅動器"。

系統右下角會提示你準備重啟電腦，點開之後，點"立即重新啟動"。

重啟之後，将你前面設置的密碼照着輸入一遍，然後回車進入系統。

重啟回到系統之後，系統就會自動對系統盤進行加密處理。

如果你用的不是Administrator賬号，你是看不到系統盤加密進度的。這種情況下，你可以利用管理員命令提示符或是PowerShell執行manage-bde -status命令來查看加密進度。

然後你可以繼續加密其它非系統盤或U盤，這個加密過程可以實時看到。

加密非系統盤的界面和加密系統盤的界面有一定區别，少了一些步驟。

你還可以打開BitLocker驅動器加密管理（在Cortana搜索框可以輕易調出），在裡面開啟非系統盤自動解鎖。但是，開啟這個功能的前提是系統盤必須要開啟BitLocker加密。

由于加密過程十分漫長，系統支持在加密的過程中暫停加密，等時間允許之後再來完全加密。

Legacy啟動方式使用BitLocker全盤加密的一個基本要求是，啟動文件必須放在一個單獨的分區裡，也就是系統保留分區，這樣才可以BitLocker全盤加密。如果是使用原版安裝鏡像安裝的Windows且确實保留了系統保留分區，那麼一般是符合這個條件的。

不知道的話，可以打開磁盤管理（diskmgmt.msc）檢查是否有系統保留分區。

以後每次開機，都會見到這個BitLocker加密輸入密碼的提示。

使用硬盤加密，要說明的幾個注意事項：

1、一定要設置一個開機密碼，不用電腦的時候将電腦鎖定；

2、如果電腦有1394接口，一定要禁用掉，并在組策略禁止1394設備的安裝防止有心人士加裝1394擴展卡。因為IEEE1394可以直接訪問内存，隻要在系統登錄界面下，拿出另一台電腦，用火線将兩台電腦連接起來，通過某些工具直接将整個内存做一個鏡像，然後從内存讀取解密密碼，剩下的就不用多說了。這個操作就是所謂的"火線攻擊"（Firewire Attack）。禁用1394接口帶來的影響，就是使用1394接口的外設全部無法使用。不過我想現在應該沒幾個人還在用1394接口傳輸數據了吧；

3、不要将密碼存在不安全的地方，例如寫在一張紙條放在電腦旁邊，這跟沒加密沒區别了。加密的意義就是要防止有心人士獲取不想被其他人獲取的數據。

4、加密會對硬盤的性能帶來一定影響。如果這個電腦不拿來進行機密文件的處理，就是拿來日常娛樂，那麼全盤加密是毫無必要的。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!