Win11系统加密如何加密系统分区 Win11加密系统分区法【贴士】

Windows 11 系统分区加密必须依赖TPM并配合启动PIN或智能卡，无法仅用密码解锁；可通过设置应用、控制面板、PowerShell或组策略四种方式启用BitLocker全盘加密。

如果您希望对 Windows 11 的系统分区（通常是 C: 盘）启用加密保护，以防止物理访问导致的数据泄露，则需特别注意：系统分区加密必须依赖可信平台模块（TPM）并配合 BitLocker 启动密钥或 PIN，且无法仅用密码解锁。以下是实现该目标的多种方法：

一、通过设置应用启用系统分区 BitLocker 加密

此方式利用 Windows 11 现代化设置界面直接导航至磁盘加密入口，路径清晰、步骤紧凑，适用于已启用 TPM 2.0 并完成初始配置的设备。

1、按下 Win + I 打开“设置”应用。

2、在左侧菜单中选择“系统”，然后点击右侧的“存储”。

3、向下滚动并点击“高级存储设置”下的“磁盘和卷”。

4、在磁盘列表中找到标有“系统”或“启动”的驱动器（通常为 C:），点击其右侧的“属性”按钮。

5、在属性页面中查找并点击“打开 BitLocker”链接。

6、系统将检测 TPM 状态；若提示“TPM 未就绪”，需先重启进入 BIOS/UEFI 启用 TPM 并清除所有权。

7、确认硬件满足要求后，勾选“使用 PIN 解锁启动时的驱动器”，点击“下一步”。

8、输入一个至少 6 位数字的启动 PIN，再次确认后继续。

9、选择恢复密钥保存方式：推荐保存到 Microsoft 账户或保存到文件并存入离线介质。

10、选择“加密整个驱动器”，确保预操作系统区域与用户数据一并加密。

11、点击“开始加密”，系统将提示重启以完成初始化。

二、通过控制面板启用系统分区 BitLocker 加密

该方法沿用传统控制面板路径，兼容性更广，尤其适用于部分 OEM 预装系统中设置应用入口被隐藏的情况，但需手动验证 TPM 就绪状态。

1、按下 Win + S，在搜索框中输入“控制面板”并打开。

2、右上角将“查看方式”设为“大图标”，然后点击“BitLocker 驱动器加密”。

3、在驱动器列表中找到标记为“操作系统驱动器”的 C: 盘，点击其下方的“启用 BitLocker”。

4、若出现“此驱动器不支持 BitLocker”提示，请先运行 tpm.msc 检查 TPM 状态并初始化。

5、系统自动跳过“密码解锁”选项，直接提供“使用 PIN 解锁启动时的驱动器”或“使用智能卡解锁启动时的驱动器”。

6、选择“使用 PIN 解锁启动时的驱动器”，输入并确认符合长度与复杂度要求的启动 PIN。

7、备份恢复密钥时，务必选择至少两种独立保存方式，例如同时保存至 Microsoft 账户与 U 盘。

Evoker

一站式AI创作平台

下载

8、在加密选项中，必须选择“加密整个驱动器”，不可选“仅加密已用空间”。

9、点击“下一步”，再点击“开始加密”，系统将提示需重启以部署启动环境。

三、通过 PowerShell 命令行强制启用系统分区加密

此方法绕过图形界面限制，可精确控制加密参数并触发底层策略检查，适用于组策略禁用 GUI 入口或批量部署场景，需以管理员权限运行。

1、按 Win + X，选择“Windows Terminal（管理员）”或“Windows PowerShell（管理员）”。

2、执行命令：Get-Tpm，确认“TpmPresent”与“TpmReady”均为 True。

3、若 TPM 尚未初始化，运行：Initialize-Tpm -AllowClear 并按提示重启。

4、输入命令：manage-bde -on C: -RecoveryPassword -StartupKey "D:\BDE-Key"（D:\BDE-Key 为 USB 路径）。

5、系统将生成恢复密码并提示设置启动 PIN；此时需立即运行：manage-bde -protectors -add C: -TPMAndPIN。

6、执行后会要求输入6–20 位数字组成的启动 PIN，输入两次完成绑定。

7、运行：manage-bde -status C: 查看加密状态，确认“Conversion Status”为“Fully Encrypted”。

8、重启电脑，在 UEFI 启动阶段将显示 BitLocker PIN 输入界面。

四、通过组策略配置系统分区自动加密策略

该方法面向企业环境或已加入域的设备，通过本地组策略编辑器设定强制加密规则，使系统分区在首次登录后自动触发加密流程，无需人工干预。

1、按下 Win + R，输入 gpedit.msc 并回车打开本地组策略编辑器。

2、依次展开：“计算机配置”→“管理模板”→“Windows 组件”→“BitLocker 驱动器加密”→“操作系统驱动器”。

3、双击“配置操作系统驱动器的默认加密方案”，设为“已启用”，并勾选“启用加密”。

4、双击“要求额外的身份验证在启动时”，设为“已启用”，并勾选“允许 BitLocker 不使用兼容 TPM 启动”以外的所有选项。

5、双击“配置 TPM 平台验证程序”，设为“已启用”，并在“配置平台验证程序”中输入0x00000002（表示启用 TPM + PIN）。

6、双击“选择驱动器加密方法和密码复杂性”，设为“已启用”，选择“AES-256-XTS”加密算法。

7、关闭组策略编辑器，运行命令：gpupdate /force 刷新策略。

8、重启系统，登录后 BitLocker 将自动启动加密向导并提示设置启动 PIN。