沒有 TPM 的 Bitlocker 有多大用處？

在沒有 TPM 的系統上安裝 Bitlocker 時，您需要將啟動密鑰放在快閃記憶體驅動器上。

由於您幾乎不能指望使用者單獨儲存他的筆記型電腦和快閃記憶體驅動器，如果兩者都失去/被盜，Bitlocker 會比未加密系統提供任何優勢嗎？

如果他們都被同一個小偷偷走了，而小偷恰好知道 Bitlocker 的工作原理，那麼您幾乎可以假設您的文件系統已被入侵。

如果您的數據非常重要，您可能需要考慮使用 TPM，甚至 TPM + PIN。最好依賴於你腦海中的東西，而不是任何人都可以得到的 USB 密鑰，如果他們真的想要的話。

我知道這個問題很老，但是我在尋找自己的答案時遇到了相關問題。

您可以使用 manage-bde 要求 USB 和密碼才能解鎖設備。這有效地將解鎖機器變成了 2FA 的考驗。與不提供應用多個保護器選項的 Bitlocker UI 不同，manage-bde 工具允許您指定多個保護器，如果您有“啟動時需要額外的身份驗證”，您可能已經想通了。我的猜測是命令將按如下方式執行：

manage-bde –protectors -add C:-startupkey

$$ USB DRIVE $$ 管理-bde -on C:

$$ After it’s encrypted $$ 管理-bde -protectors -add C: pw

您可能可以在一個命令中執行此操作，我只是沒有很好的方法在新的端點上對其進行測試，但我很好奇我即將在我的舊筆記型電腦上執行它並讓您知道是否可以在一個命令中執行此操作，並將根據我看到的內容進行相應的編輯。

參考： https ://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-use-bitlocker-drive-encryption-tools-to-manage-bitlocker

引用自：https://serverfault.com/questions/97917