Windows 笔记本如何最大保护在遗失或被偷的情况下不泄漏数据。

BitLocker

bitlocker ，现在笔记本出厂默认开启

笔记本的话基本上都带 TPM 芯片+Windows11 的最低要求：所以现在主流笔记本首次开机/重装激活 windows 都默认开启 bitlocker ，此时如果用 U 盘 PE 启动，经过 bitlocker 加密的盘都需要密钥才能解锁，如果强拆硬盘破解，改动主板任何硬件都会在 bios 时候就弹出解锁 C 盘密钥才能继续引导 windows 启动（当然公安部门使用的专业取证的工具和技术除外）

台式机的话看主板有没有 TPM 芯片，有的话一样开启 bitlocker 就行了

另外最主要的还是密码强度，再厉害的硬件加密技术没有强密码也白搭，就好比保险柜密码是 0000 ，再安全的保险柜也挡不住弱密被枚举撞库

@Jacquesx 所以现在一般笔记本都有 windows hello 或者指纹识别了

@yyzh 而且 windows hello 这一套都是和 TPM 联动的，之前 ThinkPad 的指纹坏了，在闲鱼买了个拆机的指纹模块，换上之后直接弹 32 位 bitlocker 密钥，本地又没保存，去微软账户上面找的云备份密钥才解开的

VeraCrypt 全盘加密。

抱歉，没有认真看主题前面回错了。安全和便捷是相悖的。加密又不影响使用速度是不可能的。

Bitlocker 又名数据火葬场，密钥和你的机器强绑定。出了问题就算你拆下来插到别的机器上也恢复不了，随随便便进个水就可以要你命。最后大概率是把自己防出去了

如果真的是敏感数据，建议*加密*储存在可靠云盘或者自家 NAS 里，电脑丢失随时可以关闭权限。数据非要随身带不可的，用 VeraCrypt 加密随身硬盘或者 U 盘，但是要记得备份数据。

@LanhuaMa 否的。iOS 、Android 、macOS 的加密才是和硬件强绑定。
BitLocker 只是默认把其中一个密钥存储到 TPM 中，除了这个密钥外还有一个独立的恢复密钥，只要有这个恢复密钥就能解密。

@LanhuaMa 买一支铅笔，拿一张便签纸，把 48 个数字+7 个连字符亲手抄写一遍，很难吗？不难吧😅

说说我之前了解过的一些相关的东西：
在电脑失窃的情况下想要保护数据（据我所知）都得依赖全盘加密，否则完全可以拆下硬盘放到别的机器上面读取。
新一点的电脑安装的 Windows 系统默认开启了 BitLocker 其实就是一种全盘加密的方案，平时感觉不到只是因为主板上的 TPM 芯片里面密钥会自动在启动的时候解密硬盘。

如果更进一步想要防御 evil maid attack: https://en.wikipedia.org/wiki/Evil_maid_attack
可以考虑给 UEFI 加上密码，防止 secure boot 功能被关闭/更改，以此来防止攻击者替换启动引导(secure boot 就是在确保只有被签名过的 boot loader 能在机器上面启动)。基本上市面上买到的主板的 UEFI 里面都会内置微软的 pulic key ，使得被微软签名过的 windows boot loader 能够“默认”在 secure boot 下启动。而如果是自己想要安装 Linux ，往往需要先 disable secure boot 也是这个原因。当然在安装完成之后，可以生成自己的 key 并给 Linux kernel 签名然后在 UEFI 里面 enroll 这个 key 也就可以启用 secure boot 了。

其实现代一点的 OS 和稍微现代一点的支持 TPM-based secure boot 的硬件的结合在正确配置的情况下，并不存在网上说的轻易被破解的情况。只是这些功能有时候没有被正确开启。

@venompool88 非常恶心，默认开启就该在第一次启动就通知用户备份密钥，不然笔记本出点问题自己都拿不回数据，现在新买的笔记本第一时间就是解除 BitLocker 加密

老旧设备，开启 bios 密码，每次开机输入密码

最新 win11 ，默认全盘加密，支持生物识别登录

bitlocker 影响硬盘性能

bitlocker+nas 实时数据备份,记得保存好密钥

不要分盘～一个 c 盘，应该就能解决大部分的问题。

开 Bitlocker 就可以了，但要记得不要把 Bitlocker 的密码写成纸条贴笔记本上。

另外恢复密钥保存好就行。

@vvhy 2011 年的 Sandy Bridge 处理器就支持 AES-NI 加速了，现在是 2024 年，请问您是什么古董电脑爱好者吗？还是说你家里有数据中心，读写速度少了 10MB/s 就会损失几万亿的市值？

bitlocker 任意时候都可以主动去备份密钥，所以买到新电脑第一时间是备份密钥，而不是关闭它。ssd 跑分性能损失 1%左右吧，毫无感觉。

BitLocker, 开启后的密钥备份到其它地方，这样当计算机因跌打损伤时，可以将硬盘在其它机器上恢复。

MacOS 可以在启动的时候进入恢复模式, 然后通过命令行重置密码..

@LanhuaMa 有恢复密钥插到哪里都可以解密

@DaCong #12 这能抵御一部分物理攻击，但我觉得想抵御 evil maid 的话几乎只有不让设备离开你的视线，例如可以给你只保留一个外壳

@chanwang 可以用三星的硬盘，Bitlocker 使用硬盘的硬件加密引擎，目前看是不影响速度

在中国制造销售的电脑的 TPM 跟在美国制造销售的电脑的 TPM 是不是有什么区别?

@LanhuaMa #9 不懂可以不要乱说

你说的这种情况本质就是属于物理丢失范畴，你放隔壁 Linux 发行版也是 grub 能进菜单照样直接改 root 的，物理丢失情况下除了硬件加密怎么会有软件层面防盗的可能性。

用 BitLocker 记得在组策略里面启用“此计算机锁定时禁用新的 DMA 设备”

可以看看 Cryptomator

可以用 Cryptomator ，只加密敏感数据。

@ShinichiYao 登录 Microsoft 账户的话会自动同步的，打开网页就能看到

楼上都说的是 win 的保护，linux 下如果没有做加密的话，直接将硬盘 dd 一份备份，然后挂载硬盘用 chroot 进去改 root 密码，然后退出 chroot 重启电脑就能进系统了，各种数据随便复制出来。等把系统中的数据偷得差不多后，再重启进 pe ，把之前的备份 dd 回去即可做到神不知鬼不觉得偷数据，加密的我暂时还没试过不确定这是否可行。

我之前做一个涉密项目时遇到过一个竞争对手联合甲方一起偷代码的情况，我们组被偷代码的开发人员就是图省事，驻场下班时不带电脑回去，导致我们丢了几百万的一个项目。所以保密培训的时候老总特地把我们组的糗事当反面教材和各种出卖国家机密的案件放一起来讲课。。。

@mylovesaber 哈哈哈哈哈，世界就是个巨大的草台班子

@mylovesaber 这不是犯法吗

@proxytoworld 是的，但是人家规模大到检察院面对蝼蚁的起诉都可以听他们的