想必大家都知道，啟用 BitLocker 加密的 Windows，在每次系統開機時都會使用內置的 TPM 芯片對系統分區進行自動解密。但通過手動配置，用戶還是可以將 U 盤制作成「啟動密鑰」的，只有在系統啟動前插入正確 U 盤才能對磁盤解密并啟動 Windows，這樣一來我們便有效為 BitLocker 變相添加了一重硬件級別的雙因素身份認證。

1. 啟用BitLocker加密

要啟用 BitLocker 加密，必需使用的是 Windows 專業版或企業版還需要你的設備支持 TPM 芯片，然后在「控制面板」中為 Windows 系統分區啟用 BitLocker 加密即可。

1打開「控制面板」—「系統和安全」—「BitLocker 驅動器加密」

2至少為 Windows 所在系統分區啟用加密

3為保數據最大程度安全，建議為所有磁盤分區都啟用 BitLocker 加密

默認情況下，Windows 系統分區會在系統啟動時自動使用 TPM 芯片中存儲的解密密鑰進行解決并啟動系統。如果你的計算機沒有 TPM 芯片，可以對非系統磁盤使用 U 盤存放加密密鑰以取代 TPM 芯片的作用。如果你使用 Windows 專業版以下版本（如家庭版），則無法使用 BitLocker 功能，后面內容對你也無用，不用繼續往下看了。

2. 在組策略中啟用「啟動密鑰」

一旦磁盤加密完成，我們則需要執行最關鍵步驟，在組策略中啟用「啟動密鑰」：

1使用 Windows + R 快捷打開「運行」— 執行 gpedit.msc 打開組策略編輯器

2導航到「計算機配置」—「管理模板」—「Windows 組件」—「BitLocker 驅動器加密」—「操作系統驅動器」，雙擊「啟動時需要附加身份驗證」

3將該條策略設置為「已啟用」，并將「配置 TPM 啟動密鑰」更改為「有 TPM 時需要啟動密鑰」后點擊確定。

3. 將U盤制成「啟動密鑰」

現在我們可以使用 manage-bde 命令將 U 盤配置為 BitLocker 加密驅動器的「啟動密鑰」盤。

1將 U 盤插入電腦，查看 U 盤分配到的盤符。

2打開「命令提示符（管理員）」并執行如下命令：

manage-bde -protectors -add c: -TPMAndStartupKey h:

上述命令中的 c: 代表 Windows 系統所處分區的盤符，最后的 h: 代表 U 盤的盤符，請大家根據自己實際情況更改命令后執行。

3命令完成后，U 盤中會自動生成隱藏的 .bek 系統文件。

4配置完成后，當 Windows 下次啟動時便會要求插入制作好的 U 盤用于解密 BitLocker 加密的系統分區。此后，才能正常啟動操作系統。

要查看 TPM「啟動密鑰」是否正確添加，可以使用如下命令：

manage-bde –status

如何移除「啟動密鑰」

要移除 TPM「啟動密鑰」并恢復到 Windows 原有的自解密狀態也非常簡單，只需按前面步驟將相同組策略路徑中的「配置 TPM 啟動密鑰」更改為「有 TPM 時允許啟動密鑰」后點擊確定，再用 manage-bde -protectors -add c: -TPM 命令將密鑰重新寫回 TPM 芯片即可。更改完成后建議先重啟下系統看是否有問題，如無意外，直接將 U 盤格式化就行了。