网站搜索

如何从 Microsoft 的服务器中删除 Windows 磁盘加密密钥

Windows 在许多开箱即用的 Windows 10 和 8.1 PC 上启用设备加密。它还会将您的恢复密钥上传到 Microsoft 的服务器,即使您忘记了密码,也可以让您重新获得对加密驱动器的访问权限。

不过,如果您对此不满意,可以从 Microsoft 的服务器中删除恢复密钥,甚至创建一个新密钥。此过程甚至适用于家庭版 Windows,即使它们无法访问专业版提供的完整 BitLocker 加密。

你可能不应该这样做

实际上,您可能不应该这样做。微软默默地将恢复密钥上传到自己的服务器是不寻常的,但实际上并不比以前的现状更糟。以前的 Windows 版本——以及许多当前仍未启用设备加密的 Windows PC——只是未加密。这意味着任何人只要能拿到电脑就可以访问他们的文件。启用加密并为 Microsoft 提供恢复密钥对于防止笔记本电脑窃贼和其他可能想要窥探您的文件的人有很大帮助。

恢复密钥允许您重新获得对计算机文件的访问权限,即使您忘记了密码或升级了系统上的硬件(有时可能会将您锁定在加密驱动器之外)。您只需在线登录您的 Microsoft 帐户,找到恢复密钥,然后将其输入您的计算机以访问锁定的硬盘驱动器。这对于不一定会在安全的地方备份恢复密钥并且可能会忘记密码的家庭用户来说是一个巨大的福音。如果家庭用户因为如此愚蠢的事情而丢失了计算机上的所有文件,他们将不会高兴。

当然,硬币的另一面是 Microsoft 可能被迫将您的恢复密钥提供给政府。或者,或者,有人可以物理访问您的计算机并以某种方式进入您的 Microsoft 帐户以访问恢复密钥并绕过加密。下面的提示将使该恢复密钥远离 Microsoft。但如果您这样做,您必须自己保留一份副本并将其存放在安全的地方。如果您丢失了它,并且您忘记了密码或更新了您的硬件而没有先禁用加密,您将永远被锁定在您的计算机之外。

从 Microsoft 的服务器中删除恢复密钥

要检查 Microsoft 是否为你的一台或多台 PC 存储恢复密钥,请在网络浏览器中打开 https://onedrive.live.com/recoverykey 页面。使用您在该 Windows PC 上首次登录时使用的同一 Microsoft 帐户登录。

如果您没有任何密钥存储在 Microsoft 的服务器上,您将看到一条消息“您的 Microsoft 帐户中没有任何 BitLocker 恢复密钥”。

如果您确实在 Microsoft 的服务器上存储了恢复密钥,您将在此处看到一个或多个恢复密钥。单击您的计算机名称,然后单击出现的“删除”链接以从 Microsoft 的服务器中删除您的恢复密钥。

警告:记下此恢复密钥或将其打印出来并保存在安全的地方,然后再删除它!如果您需要重新获得对加密文件的访问权限,您将需要恢复密钥。

生成新的恢复密钥

Microsoft 承诺他们会迅速删除您从他们的服务器中删除的任何恢复密钥。但是,如果您有点偏执,这对您来说可能不够好。您可以让 Windows 生成一个永远不会上传到 Microsoft 服务器的新恢复密钥。

这不需要重新加密整个驱动器。基本上,BitLocker 加密使用两个密钥。第一个密钥仅存储在您的计算机上,用于加密和解密您的文件。第二个密钥用于解密存储在您计算机上的密钥。此过程仅更改第二个密钥,这是唯一一个无论如何都会离开您的计算机的密钥。

为此,右键单击“开始”按钮并选择“命令提示符(管理员)”以管理员身份打开命令提示符窗口。

键入以下命令并按 Enter 键以暂时“暂停”BitLocker 保护:

manage-bde -protectors -disable %systemdrive%

运行以下命令删除当前的恢复密钥:

manage-bde -protectors -delete %systemdrive% -type RecoveryPassword

然后运行此命令以生成新的恢复密钥:

manage-bde -protectors -add %systemdrive% -RecoveryPassword

重要:记下或打印出运行此命令后显示的恢复密钥,并将其保存在安全的地方!这是您的新恢复密钥,您有责任保护它。

最后,重新启用 BitLocker 保护:

manage-bde -protectors -enable %systemdrive%

您会看到一条消息,说明计算机中没有驱动器支持设备加密。但是,它们是加密的。如果要撤消所有更改,则需要在命令提示符窗口中禁用加密。

或者只是使用 BitLocker

如果你有 Windows 专业版——或者如果你愿意再支付 99 美元升级到 Windows 专业版——你可以跳过这一切,只设置普通的 BitLocker 加密。设置 BitLocker 时,系统会询问您希望如何备份恢复密钥。只要不选择“保存到您的 Microsoft 帐户”选项就可以了。请务必记下恢复密钥或将其打印出来并将其保存在安全的地方!

如果您的计算机未启用设备加密,这也是加密 Windows 系统驱动器的唯一官方方法。你不能稍后才启用设备加密——在没有设备加密的家庭 Windows PC 上,你需要为 Windows Professional 付费才能使用 BitLocker。您可以尝试使用 TrueCrypt 或类似的开源工具,但不确定性的阴云仍然笼罩着它们。

同样,大多数 Windows 用户都不想这样做。借助设备加密,Microsoft 将所有 Windows PC 默认情况下未加密转变为默认情况下对许多 Windows PC 进行加密。尽管微软拥有恢复密钥,但这对数据安全来说是一个巨大的胜利,也是一个巨大的进步。但是,如果您想走得更远,上述技巧可以让您控制恢复密钥,而无需支付专业版 Windows 的费用。

图片来源:Flickr 上的 Moyan Brenn