TL;DR
本文能实现:
- 在有硬件支持的机器上开启BitLocker
实现方式:
- 修改组策略
计算机配置→管理模板→Windows组件→Bitlocker驱动器加密→操作系统驱动器→启动时需要附加身份验证为启用 - 利用Dism++的
菜单栏→恢复功能→在RE中运行创建WinRE分区
下面是详细的教程:
0x00 起因
最近因为数据有加密需求需要对系统盘开启Bitlocker,但是一开启就提示”这台电脑不支持在启动期间输入BitLocker恢复密码。请咨询管理员以配置Windows恢复环境以便可以使用BitLocker。“,研究一番总算开启成功,记录一下解决方案
0x01 更改策略[1]
按下 Win + R ,输入 gpedit.msc 敲击回车打开本地组策略编辑器,按照 计算机配置→管理模板→Windows组件→Bitlocker驱动器加密→操作系统驱动器 路径打开,在窗口右边双击 启动时需要附加身份验证 ,选择 已启用,再点击确定
0x02 添加分区
如果在修改完策略以后还是无法启动BitLocker的话,可能是没有划分WinRe分区(恢复分区),右键开始菜单,选择磁盘管理
查看系统所在的硬盘分区,如果存在恢复分区(如下图)
则可能是其他原因导致无法开启,建议参考下 0x03 其他原因,如果没有,可以通过Dism++来创建
发布页面:Releases · Chuyu-Team/Dism-Multi-language (github.com)
下载地址:GitHub Release (Dism++10.1.1002.1.zip)
Chuyu-Team/Dism-Multi-language
对于部分地区无法访问的问题,可以通过GitHub下载加速来解决,例如GitHub 加速下载 – 在线工具 (toolwa.com)[2]
下载完成以后解压,启动系统对应的程序(现代设备一般为x64位系统,启动Dism++x64.exe 即可,例如树莓派、
Surface Pro X等Arm设备启动Dism++ARM64.exe ,选择菜单栏中的 恢复功能→在RE中运行,等待软件修复完成,WinRE分区即可创建完成,可以重新尝试开启BitLocker,查看是否能够启用
0x03 其他原因
可以通过查找官网资料显示
BitLocker 驱动器加密(Windows 10 专业版或 Windows 10 企业版中包含)需要 Trusted Platform Module(TPM)1.2 或更高版本,以及兼容 Trusted Computing Group(TCG)的 BIOS 或是 UEFI。BitLocker 可以在设备上使用而无需 TPM,但是你需要在可移除设备上保存启动秘钥,比如 USB 磁盘。 在你将一台设备加入 Azure Active Directory(AAD)时,如果你希望能对本地驱动器进行自动加密,则必须支持 TPM 2.0 及 InstantGo。请咨询你的电脑生产商,确认你的设备在你想启用的场景下,是否支持正确的 TPM 版本以及 InstantGo。
怎样查看 Windows 10 计算机系统的规格和需求 – Microsoft
检查机器是否支持TPM2.0及InstantGo
对于 InstantGo 来说,可以参考 How can I get InstantGo in Windows 10? – Microsoft Community