如果电脑不支持TPM加密BitLocker,就无法对系统盘进行全盘加密。
可以采用一个变通的方法:创建一个vhdx,将这个虚拟磁盘进行BitLocker加密,然后在这个盘里安装操作系统,最后把vhdx添加到bootmanager。
这样一个系统是原来的Windows(Vista以上的系统,建议是Win10 1511以上版本),一个是vhdx的Windows。
启动vhdx的Windows时候要求输入BitLocker密码再进入系统。
具体内容如下:
win10.vhdx - BitLocker 加密的 Win10 待部署虚拟磁盘。
注意:所有操作在Windows 10/2016系统下完成,因为BOOTMGR不支持旧的版本,所以XP~Win7不能使用。
使用:
1、备份bcd,在管理员模式下的命令提示符下输入:
C:> bcdedit /export %userprofile%desktopackup1.bcd
这条命令是备份到桌面,建议马上复制到其他安全的地方。
注:可以用bootice来做bcd的备份和恢复,bootice恢复要比bcdedit的import参数好用。
2、复制 win10.vhdx 到某个剩余空间较大的分区里(制作的时候设置是100GB),
可以是某个文件夹下,然后双击 win10.vhdx 载入,输入解锁密码。
3、创建BCD引导项。注意:应该在原Win10系统下做bcdboot命令。
假设 win10.vhdx 成功载入J:盘,在管理员模式下的命令提示符下输入:
C:> bcdboot j:windows /d /addlast
如果不加 /d /addlast 参数,将采用vhdx引导,表现为启动电脑时要先bitlocker解锁,才能看见菜单。
添加 /l zh-cn 参数,可设置其引导界面语言为中文;添加 /s c: 参数将vhdx系统的引导安装到c:盘。
4、重启系统,选择进入win10.vhdx所在卷引导项,会出现bitlocker,输入解锁密码。
注意每次出现引导菜单的时候,都要选择进入win10.vhdx所在卷的引导项,直到安装好 Windows。
5、更改引导项名称
进入vhdx的Windows,在管理员的命令提示符下输入:
显示名称
C:> bcdedit /set {current} description "Windows 10 VHD"
界面语言:喜欢英文可以设置为 en-US
C:> bcdedit /set {current} locale zh-CN
两个选项:Legacy字符方式界面,Standard会显示Metro图形界面。
C:> bcdedit /set {current} bootmenupolicy Legacy
制作:
准备:Win10 ISO, imagex
先将Win10 ISO载入虚拟光驱,这里假设为G:盘
1、制作vhdx(假设vhdx分配到J:盘)
C:> diskpart
create vdisk file="D:win10.vhdx" maximum=102400 type=expandable
attach vdisk
create partition primary
format fs=ntfs label="win10" quick
active
assign letter=j
exit
2、启用bitlocker
C:> BitLockerWizard.exe J: T
根据向导完成加密。如果未出现BitLocker加密向导界面,右键J:盘,Turn On BitLocker
3、写入install.wim数据
C:> dism /get-imageinfo /imagefile:G:sourcesinstall.wim
C:> imagex /apply G:sourcesinstall.wim 1 J:
4、制作完成
C:> diskpart
list vdisk
select vdisk file="D:win10.vhdx"
detach vdisk
exit
完成后弹出虚拟光驱,备份win10.vhdx文件。
删除:
1、从bcd删除引导项
注意:删除前做好bcd备份。
C:> bcdedit /enum
C:> bcdedit /delete GUID
2、删除win10.vhdx文件。
--