Skip to main content
Surveillance
Self-Defense

如何加密 Windows、Mac 或 Linux 电脑

最后更新: January 22, 2024

This page was translated from English. The English version may be more up-to-date.

为电脑硬盘加密可以保护数据安全,这个手段简单但有效。启用“全磁盘”加密(也称为设备加密)后,电脑里的所有内容都会被加密,因此必须输入密码才能登录电脑,查看其中的内容。

全磁盘加密的作用 anchor link

全磁盘加密可以保护你的电脑(或智能手机),防止他人对设备进行物理访问。它可以不让你的室友、同事或雇主、学校官员、家人、恋人、警察或其他执法人员看到你的数据。如果设备被盗或丢失,比如你不小心把笔记本电脑落在公交车上或咖啡馆里,它也能保护设备上的数据。

启动全磁盘加密后,电脑关机时整个硬盘都会被加密。开机并使用密码登录后,设备会解密硬盘上的所有数据。微软和苹果都在其操作系统上提供了免费的内置方法来启用全磁盘加密(两者都使用 XTS-AES 数据加密算法),无需下载第三方软件。这两种解决方案都是闭源的,由各自的公司专有,但如果你使用的是 Windows 或 macOS,表示你对微软和苹果有一定程度的信任。大多数 Linux 发行版使用 Linux 统一密钥设置 (LUKS)。

启用全磁盘加密后,你可以选择创建一个“恢复密钥”,它可以让你在忘记密码时进入电脑。恢复密钥只是一串很长的数字,你可以把它写在纸上、打印出来或复制粘贴到文档中。下面我们介绍这两种方法的优缺点。

苹果的 macOS 始终提供在本地存储恢复密钥的选项,因此比微软更令人安心,因为微软有时要求你使用微软账户在线存储恢复密钥,有时根本不提供设备加密。在这种情况下,你也可以考虑使用第三方加密软件,如 VeraCrypt,不过使用起来可能比微软和苹果的选项更麻烦。如果你更喜欢这种方式,可以参考Freedom of the Press Foundation(新闻自由基金会)的 Veracrypt 教程完成整个过程。

启用加密后,每次开机或从睡眠状态唤醒电脑时,都需要登录电脑的用户账户。这样可以保护数据安全,而且全磁盘加密还有助于防止有人将硬盘取出,然后放入另一台电脑来查看其中的内容。

恢复密钥应该储存在本地还是线上? anchor link

设备加密的主要缺点是,如果你弄丢了恢复密钥或密码,你的数据很可能就永远消失了。因此,微软和苹果都提供了多种解锁存硬盘的方法。

在设置磁盘加密时,会有两个选项:(1) 将密钥存储在本地,或 (2) 将密钥在线存储在你的苹果或微软账户中,这样你就可以用登录微软或苹果的凭证来解锁磁盘。选择第二个选项,如果你弄丢了密码或恢复密钥,微软或苹果可以帮助你找回。不过,这种便利性也是一种妥协,因为它意味着微软或苹果将拥有解密数据和登录电脑所需的密码。如果执法部门要求,他们可以将这些信息交给执法部门,不过除此之外你的电脑还是受到保护的,比如盗窃或非执法实体企图访问你的数据。

第一个选项要求你自己保存恢复密钥,可以打印在纸上,也可以存储数字拷贝。这意味着微软或苹果公司无法获取恢复密钥。这么做的弊端是,如果密钥丢失,就没有恢复选项,也无法请求帮助或重置密码。虽然这听起来比将恢复密钥存储在苹果或微软账户中更安全,但请记住,任何找到此密钥的人都可以解锁你的电脑,因此务必将它存储在安全的地方:

  • 如果把恢复密钥打印出来,请考虑将它存放在防火保险箱中,或交给不与你住在一起的可信赖的朋友或家人保管。
  • 如果要保存数字拷贝,不要将它存储在电脑或任何云存储服务上。可以考虑将密钥存储在密码管理器中,该密码管理器不应使用与电脑相同的用户名和密码。

如果你决定自己保存恢复密钥,就会得到一串由字母和数字组成的字符串。一定要将密钥保存好,因为微软或苹果都无法帮助你恢复密钥,而且如果你忘记了登录密码,没有密钥就无法访问硬盘,硬盘里的文件将永远丢失。

如何加密 Windows 电脑 anchor link

Windows 的全磁盘加密有两种名称:设备加密和 BitLocker,具体取决于电脑类型和操作系统版本。设备加密可用于各种版本的 Windows,但前提是硬件包含受信任的平台模块 (TPM) 并且制造商启用了一些安全方法。BitLocker 只需要 TPM,但仅适用于 Windows 10(和 11)专业版、教育版和企业版。

如果你用的是 Windows 10(或 11)家庭版,并且硬件不支持设备加密,则有可能看不到加密硬盘的选项。如果是这样,建议按照 新闻自由基金会的 Veracrypt 教程指南操作。

搞清楚自己可以用哪种方法可能比较麻烦。有些 Windows 笔记本电脑默认启用设备加密。查看方法是:

Windows 10

  1. 打开 Settings > Update & Security设置 > 更新和安全)。在设置面板的左侧边栏找到并点击“Device encryption ”(设备加密)。如果这个界面上没有设备加密选项,也可以尝试在搜索栏中搜索“device encryption”(设备加密)。
  2. 如果设备加密是关闭的,将它打开。可能需要用微软账户登录才能完成加密过程。如果不想将恢复密钥存储在 Microsoft 账户中,但它要求你这么做才能继续,那可能要考虑使用第三方工具了。

如果没有设备加密选项,请查找 BitLocker(Windows 10(和 11)专业版、教育版和企业版有这个功能)。在 Windows 10 中,BitLocker 的切换按钮所在位置和设备加密不一样:

  1. 在任务栏的搜索框中输入“Manage BitLocker”(管理 BitLocker),然后从结果中选择它。
  2. 点击 Turn on BitLocker启用 BitLocker),然后按说明操作。你需要创建一个密码,然后会看到将恢复密钥保存到微软账户、保存为文件或是打印出来的选项。

Windows 11

在 Windows 11 中,BitLocker 和设备加密在同一个位置:

  1. 打开 Settings > Privacy & security > Device encryption设置 > 隐私和安全 > 设备加密)。
  2. 如果设备加密是关闭的,将它打开。这里如果有 BitLocker 选项,那就在这里启用。使用设备加密,可能需要用微软账户登录才能完成加密过程。使用 BitLocker,要先创建一个密码,然后会看到将恢复密钥保存到微软账户、保存为文件或是打印出来的选项。

 

有时微软会在系统更新时改变设置页面的位置。如果按上述说明找不到设备加密,请参阅微软的 Windows 支持文章。如果没有帮助,请尝试在网上搜索电脑制造商和“设备加密”,看看他们是否提供了特殊说明。

如何加密 Mac 电脑 anchor link

只要你运行的是 macOS 10.7 或更高版本,就可以通过名为 FileVault 的免费内置软件轻松完成加密。

如果是近几年生产的 Mac,FileVault 可能已默认启用。但如果电脑比较旧,或者最初设置 Mac 时选择了不使用该功能,则应检查确认它是否已开启。在 macOS Ventura 或更高版本上:

  1. 打开 System Settings系统设置),点击 Security & Privacy安全和隐私),向下滚动到“FileVault”部分。
  2. 点击 Turn On启用),然后按屏幕上的说明操作。

苹果提供将恢复密钥存储在苹果账户或本地的选项。如果选择将密钥存储在本地,请将密钥保存在安全的地方,因为如果忘记登录密码又丢失密钥,将无法访问数据。如果你使用的是旧版操作系统,请参阅苹果的文档了解具体说明。

如何加密 Linux 电脑 anchor link

大多数 Linux 发行版都提供在首次设置电脑时启用全磁盘加密的方法,通常是使用 Linux 统一密钥设置 (LUKS)。与 Windows 和 macOS 不同,大多数 Linux 发行版上的全磁盘加密只能在安装操作系统时启用。这意味着,如果在第一次设置电脑时没有开启全磁盘加密,那么想对硬盘进行加密只能重新安装 Linux,但这么做会清除硬盘中的内容(因此在开始之前,请务必备份重要文件!)。大多数流行的 Linux 版本都是如此,包括 UbuntuArch LinuxFedora

由于 Linux 发行版数量众多,我们无法在此介绍所有发行版的操作方法。不过,我们以 Ubuntu 为例,让你大致了解它是如何工作的。

  1. 下载最新版本的 Ubuntu 并设置安装驱动
  2. 进入安装欢迎页面后,点击“Install Ubuntu”(安装 Ubuntu),然后选择键盘布局并更新首选项。
  3. 进入“Installation type”(安装类型)页面后,点击“Advanced Features”(高级功能)。
  4. 选择“Use LVM with the new Ubuntu installation”(在新的 Ubuntu 安装中使用 LVM),勾选“Encrypt the new Ubuntu installation for security”(加密新的 Ubuntu 安装以确保安全)。
  5. 点击“OK”(确定),然后点击“Install Now”(立即安装)。
  6. 在“Choose your security key ”(选择安全密钥)框中,输入你想用来加密硬盘的密码(一定要使用安全性强的密码!),然后在“Confirm the security key”(确认安全密钥)框中再次输入。
  7. 可以选择勾选“recovery key”(恢复密钥)。 和 Mac 和 Windows 一样,如果你忘了密码,可以用这个功能恢复系统访问。可以将密钥写下来或存储在密码管理器中。还可以选择创建一个“recovery.key”文件,完成安装后即可使用。然后将该文件存储在安全的地方。
  8. 点击“Install Now”(立即安装),然后按照指示完成安装过程。

 

安装好 Ubuntu 后,每次启动电脑时都要输入加密密码。请注意,这不是登录密码,登录密码是电脑从睡眠状态唤醒时输入的密码。