加密系統(tǒng)，如何解鎖BitLocker加密的Win10系統(tǒng)

來源：整理時(shí)間：2023-06-23 10:53:05 編輯：智能門戶手機(jī)版

1，如何解鎖BitLocker加密的Win10系統(tǒng)

一、啟用BitLocker加密要啟用 BitLocker 加密，必需使用的是 Windows 專業(yè)版或企業(yè)版還需要你的設(shè)備支持 TPM 芯片，然后在「控制面板」中為 Windows 系統(tǒng)分區(qū)啟用 BitLocker 加密即可。1.打開「控制面板」—「系統(tǒng)和安全」—「BitLocker 驅(qū)動(dòng)器加密」；2.至少為 Windows 所在系統(tǒng)分區(qū)啟用加密；3.為保數(shù)據(jù)最大程度安全，建議為所有磁盤分區(qū)都啟用 BitLocker 加密。默認(rèn)情況下，Windows 系統(tǒng)分區(qū)會(huì)在系統(tǒng)啟動(dòng)時(shí)自動(dòng)使用 TPM 芯片中存儲(chǔ)的解密密鑰進(jìn)行解決并啟動(dòng)系統(tǒng)。如果你的計(jì)算機(jī)沒有 TPM 芯片，可以對(duì)非系統(tǒng)磁盤使用 U 盤存放加密密鑰以取代 TPM 芯片的作用。如果你使用 Windows 專業(yè)版以下版本（如家庭版），則無法使用 BitLocker 功能，后面內(nèi)容對(duì)你也無用，不用繼續(xù)往下看了。二、在組策略中啟用「啟動(dòng)密鑰」一旦磁盤加密完成，我們則需要執(zhí)行最關(guān)鍵步驟，在組策略中啟用「啟動(dòng)密鑰」：1使用 Windows + R 快捷打開「運(yùn)行」— 執(zhí)行 gpedit.msc 打開組策略編輯器；2.導(dǎo)航到「計(jì)算機(jī)配置」—「管理模板」—「Windows 組件」—「BitLocker 驅(qū)動(dòng)器加密」—「操作系統(tǒng)驅(qū)動(dòng)器」，雙擊「啟動(dòng)時(shí)需要附加身份驗(yàn)證」；3.將該條策略設(shè)置為「已啟用」，并將「配置 TPM 啟動(dòng)密鑰」更改為「有 TPM 時(shí)需要啟動(dòng)密鑰」后點(diǎn)擊確定。3. 將U盤制成「啟動(dòng)密鑰」現(xiàn)在我們可以使用 manage-bde 命令將 U 盤配置為 BitLocker 加密驅(qū)動(dòng)器的「啟動(dòng)密鑰」盤。1.將U盤插入電腦，查看U盤分配到的盤符。2.打開「命令提示符（管理員）」并執(zhí)行如下命令：manage-bde -protectors -add c: -TPMAndStartupKey h:上述命令中的 c: 代表 Windows 系統(tǒng)所處分區(qū)的盤符，最后的 h: 代表 U 盤的盤符，請(qǐng)大家根據(jù)自己實(shí)際情況更改命令后執(zhí)行。3.命令完成后，U 盤中會(huì)自動(dòng)生成隱藏的 .bek 系統(tǒng)文件。4.配置完成后，當(dāng) Windows 下次啟動(dòng)時(shí)便會(huì)要求插入制作好的 U 盤用于解密 BitLocker 加密的系統(tǒng)分區(qū)。此后，才能正常啟動(dòng)操作系統(tǒng)。要查看 TPM「啟動(dòng)密鑰」是否正確添加，可以使用如下命令： manage-bde –status怎么移除「啟動(dòng)密鑰」要移除 TPM「啟動(dòng)密鑰」并恢復(fù)到 Windows 原有的自解密狀態(tài)也非常簡(jiǎn)單，只需按前面步驟將相同組策略路徑中的「配置 TPM 啟動(dòng)密鑰」更改為「有 TPM 時(shí)允許啟動(dòng)密鑰」后點(diǎn)擊確定，再用 manage-bde -protectors -add c: -TPM 命令將密鑰重新寫回 TPM 芯片即可。更改完成后建議先重啟下系統(tǒng)看是否有問題，如無意外，直接將 U 盤格式化就行了。

如何解鎖BitLocker加密的Win10系統(tǒng)

2，Syskey

一、Syskey雙重加密方法 1．設(shè)置雙重開機(jī)密碼在系統(tǒng)中的賬號(hào)密碼數(shù)據(jù)文件已經(jīng)經(jīng)過了加密，普通的方法是無法看到其中真實(shí)的內(nèi)容，但使用一些工具軟件就可以輕易查看，而Syskey能對(duì)這個(gè)賬號(hào)密碼數(shù)據(jù)文件進(jìn)行二次加密，這樣更能保證系統(tǒng)的安全。同時(shí)它還能設(shè)置啟動(dòng)密碼，這個(gè)密碼先于用戶密碼之前，因此起到雙重保護(hù)的功能。具體設(shè)置方法如下：（1）在“運(yùn)行”中輸入“syskey”就可以啟動(dòng)加密的窗口（這里以Windows XP為例若直接點(diǎn)“確定”你會(huì)發(fā)現(xiàn)并沒有什么提示，其實(shí)你已經(jīng)完成了對(duì)SAM文件的二次加密工作。（2）設(shè)置雙重啟動(dòng)密碼：剛才的設(shè)置只是對(duì)SAM文件進(jìn)行了二次加密。但是此時(shí)并沒有設(shè)置雙重啟動(dòng)密碼，你需要點(diǎn)擊“更新”進(jìn)入密碼設(shè)置窗口進(jìn)行設(shè)置，選擇其中的“密碼啟動(dòng)”，然后兩次重復(fù)的設(shè)置啟動(dòng)密碼，保存設(shè)置后就完成了雙重密碼的設(shè)置。這樣在啟動(dòng)系統(tǒng)時(shí)，首先會(huì)提示你輸入啟動(dòng)密碼，只有啟動(dòng)密碼正確后才會(huì)出現(xiàn)用戶和密碼的輸入界面。不要以為像Win9x中一樣利用ESC鍵可以跳過，在這里會(huì)使機(jī)器重啟。提示：這個(gè)加密功能一旦啟動(dòng)是無法進(jìn)行關(guān)閉的。唯一解決的辦法就是在開啟之前備份注冊(cè)表，需要關(guān)閉時(shí)恢復(fù)備份的注冊(cè)表就可以了。但是取消啟動(dòng)密碼還是很簡(jiǎn)單的，在啟動(dòng)密碼設(shè)置窗口中選擇“在本機(jī)上保存啟動(dòng)密碼”，確定后會(huì)讓你輸入你剛才設(shè)定的啟動(dòng)密碼，完畢后啟動(dòng)密碼就已經(jīng)保存在硬盤上，這樣啟動(dòng)時(shí)就不會(huì)再顯示啟動(dòng)密碼的窗口了。 2．創(chuàng)建“開機(jī)軟盤” 設(shè)置了雙重啟動(dòng)密碼后在一定程度上增強(qiáng)了安全性，但是如果不小心被別人偷窺了你的密碼，那么還是形同虛設(shè)，要真正做到絕對(duì)安全，還需要隨身帶上一把系統(tǒng)開機(jī)“鑰匙”！利用Syskey還能創(chuàng)建“開機(jī)鑰匙”，在開機(jī)時(shí)只有插入這把“鑰匙”才能進(jìn)入系統(tǒng)。同樣是在啟動(dòng)密碼設(shè)置窗口，選擇其中的“在軟盤上保存啟動(dòng)密碼”，此時(shí)會(huì)提示你輸入所設(shè)定的啟動(dòng)密碼，用來驗(yàn)證用戶的真實(shí)性。接著就會(huì)提示插入空白的軟盤，確定后密碼文件就已經(jīng)保存在軟盤上了（注意一定要保管好你的軟盤，軟盤丟失后就只有格式化機(jī)器重裝系統(tǒng)了）。這樣設(shè)置完成后，下次啟動(dòng)機(jī)器時(shí)，首先會(huì)提示你插入密碼軟盤，驗(yàn)證成功后才能進(jìn)入系統(tǒng)。利用Syskey可以很好加密賬號(hào)密碼數(shù)據(jù)文件，同時(shí)所設(shè)定啟動(dòng)雙重密碼也很好的保護(hù)系統(tǒng)安全。提示：還可以為不同的用戶創(chuàng)建不同的“開機(jī)鑰匙”，具體方法與上面的相同。插入密碼軟盤，根據(jù)不同帳戶，輸入不同的密碼。但是，密碼軟盤中的密匙文件是可以復(fù)制到其他軟盤上的，所以你也必須看管好你的軟盤！二、輕松破解Syskey加密在Windows 2000/XP系統(tǒng)安裝目錄中有一個(gè)“repair”文件夾（具體位置是：c：WINDOWS epair，其中c：為你的安裝系統(tǒng)所在的盤符），其中保存的就是系統(tǒng)安裝完畢后首次啟動(dòng)時(shí)創(chuàng)建的注冊(cè)表備份文件。黑客用這個(gè)注冊(cè)表備份文件來替換了當(dāng)前系統(tǒng)中的注冊(cè)表信息文件，系統(tǒng)就會(huì)被恢復(fù)到剛安裝完系統(tǒng)時(shí)的狀態(tài)。具體操作方法如下：首先使用Windows 2000/XP安裝光盤引導(dǎo)系統(tǒng)，進(jìn)入系統(tǒng)故障恢復(fù)控制臺(tái)，然后將“X：WINDOWSsystem32config”下的文件替換為“repair”文件下的同名文件（為了保證系統(tǒng)的安全，在進(jìn)行替換前最好將“X：WINDOWSsystem32config”文件夾下的注冊(cè)表文件備份。如果在Windows 2000中，則相應(yīng)的文件夾為X：WINNT。）。具體操作命令是： copy windows epairsam c：windowssystem32config copy windows epairsystem c：windowssystem32config copy windows epairsecurity c：windowssystem32config copy windows epairsoftware c：windowssystem32config copy windows epairdefault c：windowssystem32config 完成以上的替換操作后，重新啟動(dòng)計(jì)算機(jī)就可以清除syskey密碼了，此時(shí)以Administrator用戶登陸系統(tǒng)，注意此時(shí)必須輸入系統(tǒng)安裝時(shí)設(shè)置的Administrator用戶對(duì)應(yīng)的密碼。就這樣，黑客就輕易突破了syskey的限制了！由于“repair”文件下的注冊(cè)表文件信息是系統(tǒng)安裝完畢時(shí)生成的，用這個(gè)注冊(cè)表文件覆蓋當(dāng)前系統(tǒng)的注冊(cè)表信息后，必然導(dǎo)致大部分的軟件和硬件信息丟失，因此進(jìn)入系統(tǒng)后，需要重新安裝軟件和硬件方面的程序，重新建立用戶以及用戶組別。三、防范方法本來syskey加密的系統(tǒng)已經(jīng)非常安全了，但是仍然有破解的方法，針對(duì)這類的破解，我們一定要看好自己的愛機(jī)，不給一些居心叵測(cè)的人下手的機(jī)會(huì)。同時(shí)我們還可以采用市面上比較流行的閃盤開機(jī)鎖來保護(hù)自己的系統(tǒng)，開機(jī)鎖的主要功能是防止他人非法使用你的電腦，并可自行設(shè)定電腦鎖定時(shí)間等。當(dāng)然，這類電腦鎖也是價(jià)格不菲，對(duì)安全需求特別高的用戶可以使用！

Syskey

3，什么是EFS加密

EFS（Encrypting File System，加密文件系統(tǒng)）是Windows 2000/XP所特有的一個(gè)實(shí)用功能，對(duì)于NTFS卷上的文件和數(shù)據(jù)，都可以直接被操作系統(tǒng)加密保存，在很大程度上提高了數(shù)據(jù)的安全性。　　EFS加密是基于公鑰策略的。在使用EFS加密一個(gè)文件或文件夾時(shí)，系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK (File Encryption Key，文件加密鑰匙)，然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件，并把它存儲(chǔ)到硬盤上，同時(shí)刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK，并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問被加密的文件時(shí)，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時(shí)，如果用戶還沒有公鑰/私鑰對(duì)（統(tǒng)稱為密鑰），則會(huì)首先生成密鑰，然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則它就依賴于本地機(jī)器。 [編輯本段]好處　　首先，EFS加密機(jī)制和操作系統(tǒng)緊密結(jié)合，因此我們不必為了加密數(shù)據(jù)安裝額外的軟件，這節(jié)約了我們的使用成本。　　其次，EFS加密系統(tǒng)對(duì)用戶是透明的。這也就是說，如果你加密了一些數(shù)據(jù)，那么你對(duì)這些數(shù)據(jù)的訪問將是完全允許的，并不會(huì)受到任何限制。而其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時(shí)，就會(huì)收到“訪問拒絕”的錯(cuò)誤提示。EFS加密的用戶驗(yàn)證過程是在登錄Windows時(shí)進(jìn)行的，只要登錄到Windows，就可以打開任何一個(gè)被授權(quán)的加密文件。　　如何使用EFS加密　　要使用EFS加密，首先要保證你的操作系統(tǒng)符合要求。目前支持EFS加密的Windows操作系統(tǒng)主要有Windows 2000全部版本和Windows XP Professional。至于還未正式發(fā)行的Windows Server 2003和傳聞中的開發(fā)代號(hào)為L(zhǎng)onghorn的新一帶操作系統(tǒng)，目前看來也支持這種加密機(jī)制。其次，EFS加密只對(duì)NTFS5分區(qū)上的數(shù)據(jù)有效（注意，這里我們提到了NTFS5分區(qū)，這是指由Windows 2000/XP格式化過的NTFS分區(qū)；而由Windows NT4格式化的NTFS分區(qū)是NTFS4格式的，雖然同樣是NTFS文件系統(tǒng)，但它不支持EFS加密），你無法加密保存在FAT和FAT32分區(qū)上的數(shù)據(jù)。　　對(duì)于想加密的文件或文件夾，只需要用鼠標(biāo)右鍵點(diǎn)擊，然后選擇“屬性”，在常規(guī)選項(xiàng)卡下點(diǎn)擊“高級(jí)”按鈕，之后在彈出的窗口中選中“加密內(nèi)容以保護(hù)數(shù)據(jù)”，然后點(diǎn)擊確定，等待片刻數(shù)據(jù)就加密好了。如果你加密的是一個(gè)文件夾，系統(tǒng)還會(huì)詢問你，是把這個(gè)加密屬性應(yīng)用到文件夾上還是文件夾以及內(nèi)部的所有子文件夾。按照你的實(shí)際情況來操作即可。解密數(shù)據(jù)也是很簡(jiǎn)單的，同樣是按照上面的方法，把“加密內(nèi)容以保護(hù)數(shù)據(jù)”前的鉤消除，然后確定。　　如果你不喜歡圖形界面的操作，還可以在命令行模式下用“cipher”命令完成對(duì)數(shù)據(jù)的加密和解密操作，至于“cipher”命令更詳細(xì)的使用方法則可以通過在命令符后輸入“cipher/?”并回車獲得。　　這里還有個(gè)竅門，用傳統(tǒng)的方法加密文件，必須打開層層菜單并依次確認(rèn)，非常麻煩，不過只要修改一下注冊(cè)表，就可以給鼠標(biāo)的右鍵菜單中增添“加密”和“解密”的選項(xiàng)。 [編輯本段]注意事項(xiàng)　　如果把未加密的文件復(fù)制到具有加密屬性的文件夾中，這些文件將會(huì)被自動(dòng)加密。若是將加密數(shù)據(jù)移出來，如果移動(dòng)到NTFS分區(qū)上，數(shù)據(jù)依舊保持加密屬性；如果移動(dòng)到FAT分區(qū)上，這些數(shù)據(jù)將會(huì)被自動(dòng)解密。被EFS加密過的數(shù)據(jù)不能在Windows中直接共享。如果通過網(wǎng)絡(luò)傳輸經(jīng)EFS加密過的數(shù)據(jù)，這些數(shù)據(jù)在網(wǎng)絡(luò)上將會(huì)以明文的形式傳輸。NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮，不過一個(gè)文件不能同時(shí)被壓縮和加密。最后一點(diǎn)，Windows的系統(tǒng)文件和系統(tǒng)文件夾無法被加密。 [編輯本段]EFS實(shí)戰(zhàn)　　（由《電腦迷》提供，網(wǎng)易學(xué)院整理發(fā)布）　　提示：要使用EFS，必須滿足兩個(gè)條件：　　1. 文件需要保存在NTFS文件系統(tǒng)的分區(qū)上。　　2. 操作系統(tǒng)必須支持EFS加密。目前支持EFS的操作系統(tǒng)主要有：Windows 2000、Windows XP Professional（不包括Home版），還有Windows Server 2003。　　 EFS加密解密　　　　a.最簡(jiǎn)單的辦法就是在目標(biāo)對(duì)象上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”，打開屬性對(duì)話框,然后在常規(guī)選項(xiàng)卡上點(diǎn)擊“高級(jí)”按鈕，打開高級(jí)屬性對(duì)話框，選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”這個(gè)選項(xiàng)，反之解密。　　b.每次加密都需要打開其高級(jí)屬性對(duì)話框，非常麻煩。我們可以打開注冊(cè)表編輯器，定HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced，在這里新建一個(gè)名為EncryptionContextMenu的DWORD值，并將其數(shù)值設(shè)置為“1”，這樣用鼠標(biāo)右鍵點(diǎn)擊一個(gè)文件或文件夾的時(shí)候，右鍵菜單中就會(huì)有加密（如果目標(biāo)對(duì)象尚未被加密）或者解密（如果目標(biāo)對(duì)象已經(jīng)被加密）選項(xiàng)，只要選擇相應(yīng)的選項(xiàng)就可以直接完成操作。　　加密后文件的共享　　默認(rèn)情況下，加密后的文件只有加密者可以訪問。如果因?yàn)樘厥馇闆r，你需要將你自己加密后的文件和別人共享，那么還需要額外的設(shè)置。要注意的是，這個(gè)特性僅在Windows XP之后的操作系統(tǒng)中提供，Windows 2000下無法共享EFS加密后的文件。同時(shí)共享只能用于單個(gè)文件，而無法用于整個(gè)文件夾。　　在這個(gè)對(duì)話框中點(diǎn)擊“添加”按鈕，就可以選擇你希望可以打開這個(gè)文件的用戶。不過要注意，這里添加用戶并不是添加用戶的名稱，而是添加用戶的公鑰，也就是說希望共享文件的用戶必須有自己的公鑰。　　密鑰的備份和恢復(fù) 　　為什么有很多人在使用EFS的時(shí)候出現(xiàn)問題呢？筆者認(rèn)為最大的原因在于很多人并沒有真正理解EFS的加密方式。說到加密，密鑰是一個(gè)非常重要的概念。EFS是一種公鑰加密，那么這里就要說說什么是公鑰加密了。在使用EFS加密一個(gè)文件或文件夾時(shí)，系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK (File Encryption Key，文件加密鑰匙)，然后利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件，并把它存儲(chǔ)到硬盤上，同時(shí)刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK，并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問被加密的文件時(shí)，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時(shí)，如果用戶還沒有公鑰/私鑰對(duì)（統(tǒng)稱為密鑰），則會(huì)首先生成密鑰，然后加密數(shù)據(jù)。　　從這段話中我們可以看出兩個(gè)重點(diǎn)：文件的加密和解密都需要密鑰的參與，而密鑰分為公鑰和私鑰兩種。很明顯，無論是加密還是解密文件，都需要用到個(gè)人密鑰。加密文件的時(shí)候使用公鑰，解密文件的時(shí)候則使用相對(duì)應(yīng)的私鑰。那么無論是丟失了公鑰還是私鑰，都會(huì)給我們的使用帶來麻煩，尤其是私鑰，丟失之后就再也無法解密文件了。　　為了保證數(shù)據(jù)安全，我們最好能在加密文件之后立即將自己的密鑰備份出來，并保存到安全的地方，以防系統(tǒng)崩潰或其他原因?qū)е聰?shù)據(jù)無法解密。如何備份密鑰呢？運(yùn)行“certmgr.msc”打開證書管理器，在“當(dāng)前用戶/個(gè)人/證書”路徑下，應(yīng)該可以看見一個(gè)以你的用戶名為名稱的證書（如果你還沒有加密任何數(shù)據(jù)，這里是不會(huì)有證書的）。用鼠標(biāo)右鍵點(diǎn)擊這個(gè)證書，在“所有任務(wù)”中點(diǎn)擊“導(dǎo)出”。之后會(huì)彈出一個(gè)證書導(dǎo)出向?qū)В谙驅(qū)е杏幸徊綍?huì)詢問你是否導(dǎo)出私鑰，在這里要選擇“導(dǎo)出私鑰”，其它選項(xiàng)按照默認(rèn)設(shè)置，連續(xù)點(diǎn)擊繼續(xù)，最后輸入該用戶的密碼和想要保存的路徑并確認(rèn)，導(dǎo)出工作就完成了。導(dǎo)出的證書將是一個(gè)pfx為后綴的文件。這個(gè)pfx文件最好能保存到其他位置，并且要保證該文件的安全。　　恢復(fù)密鑰　　當(dāng)用戶的密鑰丟失后，例如重裝了操作系統(tǒng)，或者無意中刪除了某個(gè)帳戶，我們只要找到之前導(dǎo)出的pfx文件，用鼠標(biāo)右鍵點(diǎn)擊，并選擇“安裝PFX”，之后會(huì)出現(xiàn)一個(gè)導(dǎo)入向?qū)?，按照?dǎo)入向?qū)У奶崾就瓿刹僮鳎ㄗ⒁?，如果你之前在?dǎo)出證書時(shí)選擇了用密碼保護(hù)證書，那么在這里導(dǎo)入這個(gè)證書時(shí)就需要提供正確的密碼，否則將不能繼續(xù)），而之前加密的數(shù)據(jù)也就全部可以正確打開。　　講到這里，相信你對(duì)EFS的基本使用方法已經(jīng)有了一個(gè)大概的認(rèn)識(shí)，不過光有理論知識(shí)是不夠的，筆者希望大家都多在實(shí)踐中掌握EFS的使用。由于EFS安全性非常高，如果使用不慎或方法不當(dāng)則可能造成非常麻煩的后果，所以建議大家先用不重要的文件進(jìn)行EFS加密的試驗(yàn)。

樓上已經(jīng)把它貼出來了。。。。 BAIDU一下已經(jīng)很全了。還有教程。是系統(tǒng)自帶的。安全性還行。但操作不是那么方便。

什么是EFS加密