当前位置：首页 > news >正文

.NET 磁盘Bitlocker加密-Powershell操作

news 2026/3/26 19:44:09

Windows我们使用BitLocker对磁盘进行加密，公共PC以及硬盘存在插拔移动使用，可以考虑这个方案

比如右键盘符E-启用BitLocker，在下面窗口内输入密码对E盘进行加密

加密后，每次开机以及插入，使用E盘均需要输入密钥进行解密。

下面我们使用.NET实现对Bitlocker的操作

启用BitLocker

Windows点击启用BitLocker，这个操作

使用Powershell命令，可以拆解为以下操作：

// 1. 添加用户密码（相当于用户输入的解锁密码）
Add-BitLockerKeyProtector -PasswordProtector -Password $pwd// 2. 启用加密 + 生成恢复密钥（相当于系统强制要求备份恢复密钥）
Enable-BitLocker -RecoveryPasswordProtector

虽然Windows 安全策略要求：在启用 BitLocker 加密之前，必须至少有一个恢复机制。这是为了防止用户忘记密码后完全无法访问数据。

但我试了下，先启用BitLocker、再添加密码保护器，也是可以的。有需要的可以参考下，

 1     public OperateResult EnableBitLocker(string mountPath, string password)
 2     {
 3         if (mountPath.EndsWith("\\"))
 4         {
 5             mountPath = mountPath.TrimEnd('\\');
 6         }
 7 
 8         // 添加密码保护器
 9         var addPasswordScript = $@"
10             $securePassword = ConvertTo-SecureString '{password}' -AsPlainText -Force
11             Add-BitLockerKeyProtector -MountPoint '{mountPath}' -PasswordProtector -Password $securePassword
12         ";
13         var addPasswordResult = PowerShellUtils.ExecScript(addPasswordScript);
14         if (!addPasswordResult.Success && addPasswordResult.Message.Contains(password))
15         {
16             return addPasswordResult;
17         }
18 
19         // 使用恢复密码保护器启用BitLocker
20         var enableScript = $@"Enable-BitLocker -MountPoint '{mountPath}' -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector -Confirm:$false";
21         var enableResult = PowerShellUtils.ExecScript(enableScript);
22         if (!enableResult.Success)
23         {
24             return enableResult;
25         }
26 
27         return OperateResult.ToSuccess();
28     }

以上mountPath可以是盘符O:，也可以是VHDX的挂载目录如E:\test\vhdx0209

启用BitLocker相当于给你的设备设置了一个密码，后续需要使用时通过这个密码解锁才能使用

解锁BitLocker

每次设备加载（开机、拔插、Vhdx加载等）后，均需要进行BitLocker解锁才能打开设备

先查询锁定状态，

Powershell查询，

 1     public OperateResult<LocalBitLockerVolume> GetBitLocker(string mountPath)
 2     {
 3         if (mountPath.EndsWith("\\"))
 4         {
 5             mountPath = mountPath.TrimEnd('\\');
 6         }
 7         var script = $"Get-BitLockerVolume -MountPoint '{mountPath}'";
 8         var result = PowerShellUtils.ExecScriptToDataList<LocalBitLockerVolume>(script);
 9         var operateResult = result.ToResult<LocalBitLockerVolume>();
10         operateResult.Data = result.Data?.FirstOrDefault();
11         return operateResult;
12     }

LocalBitLockerVolume.LockStatus属性，0表示已解锁，1表示锁定

盘符被锁定的状态：

解锁BitLocker，有需要的可以参考：

 1     public OperateResult<List<LocalBitLockerVolume>> UnlockBitLocker(string mountPath, string password)
 2     {
 3         if (mountPath.EndsWith("\\"))
 4         {
 5             mountPath = mountPath.TrimEnd('\\');
 6         }
 7         var script = $"Unlock-BitLocker -MountPoint '{mountPath}' -Password (ConvertTo-SecureString '{password}' -AsPlainText -Force)";
 8         var result = PowerShellUtils.ExecScriptToDataList<LocalBitLockerVolume>(script);
 9         return result;
10     }