@ttimasdf 安全。如果你想更安全，就把系统盘放到 USB3 外置硬盘里随身携带。这样只能特定电脑+硬盘的组合才能解锁数据，而数据又在你身上。

而且电脑里面的管理员权限得严格限制，理论上任何管理员权限的程序都能获得 bitlocker 恢复密钥或者添加一个新的解锁密钥

PIN 码还存在的问题就是摄像头摄手。可以在前后或者中间插入假字符，或者配合退格键进行混淆，但效果没有验证过哈
------------------------------------------------------
就我现在的这个情况，难道别人在不知道我邮箱和密钥还有密码的情况下能打开？应该不行吧？我还特地咨询了好几家取证公司，人家都不接这种单子，哭笑

@allplay 太复杂了，我感觉我的数据还没有价值能让别人这么绞尽脑汁大费周章

@yankebupt 普通人还没有这个资格吧，如果真被什么间谍机关抓了，感觉比被公安局抓了还惨啊

@playboy0 有吗？这个硬件变动就跳过 tpm 的自动解锁的策略组叫什么可以告诉我一下吗？

@allplay 嗯，那我现在应该已经处于一个很安全的状态了，差不多都设置完毕了

@learningman 你要这么杠我还能说啥，当然了，在绝对的实力面前，99.9%的都是无法抗衡大记忆恢复术的，你说我二战是我发动的我都相信

@allplay 别人应该无法从 EFI 分区里找到 bitlocker 密码吧？ bitlocker 密钥也不会存在这里吧？

@allplay 你意思别人还能破解 TPM ？我现在已经取消了 TPM 自动输入密码，现在开机需要手动输入密码才能引导加载系统，然后还有输入微软账户密码才能进入系统

如题，本人已开启了全磁盘 bitblock 加密，并且关闭了 TPM 启动，策略组配置了开机必须输入 bitblock PIN 码，否则无法进入系统，现在每次开机都要先输入 bitblock PIN 码（获得磁盘访问权限）再输入系统也就是微软的 PIN 码后才能进入操作系统。在输入微软 PIN 码页面也配置禁用了所有了新的 DMA 。我的电脑现在应该很安全了吧？至少在没有 PIN 码没有 bitblock 密钥的情况下普通人和 ZF 机构时无法打开的，如果需要打开，那也得需要很多时间很金钱

@yankebupt 策略组可以配置关闭在电脑锁定时禁用一切新的 DMA

@allplay 问题是得需要知道 bitblock 密码或者密钥不是吗？如果不知道，那输入什么呢？还是无法解密

@nyxsonsleep 已经关闭了 TPM 自动解锁，bitblock 密钥存储在本地了吗？我记得我把它存储在了自己的服务器还有手抄本里，难道别人没有密钥的情况下还能用特殊方法在磁盘里找到密钥？问题他也进不去磁盘啊，我提出这些问题是建立在普通人身上。毕竟我们也不是本拉登，没有哪个 ZF 单位和黑客对我的数据感兴趣

@TrevorPhillips 我现在使用的就是系统分区加密，而另外一个分区也是加密的，但这个分区启用了 TPM 自动解锁，原因时方便一点，系统分区关闭了 TPM 自动解锁，感觉也挺安全的，没有密码启动不了系统，自然也进不去其它盘，使用 WINPE 的话时无法查看自动解锁分区的

@passall 你是说先关闭一次吗？然后再重新启用？启用的时候不要选使用 TPM 自动跳过？

@passall 清空了 TPM ，下次会自动记录自动恢复吗？而且我没有看到开机需要用密码解锁 bitlocker 的设置，可以告诉我吗

@passall 我现在找不到设置开机启用密码解锁 bitlocker 的设置啊，是需要先在 BIOS 关闭 TPM 吗

@passall 不是学生，只是最近在捣鼓这个。你没有密码也没有密钥怎么拿？怎么打开 Bitlocker ？

@allplay 为什么我在 bitlocker 驱动加密里没有看见 C 盘有禁用自动解锁这个设置？而其它分区有禁用自动解锁这个设置

@allplay 卧槽，那别人不是可以在 TPM 芯片里提取密钥吗？又有谁能保证 TPM 芯片没有留后门，刚刚看了些资料，大陆 zf 拒绝大陆 PC 厂商使用进口 TPM ，原因细思极恐啊