BitLocker 在没有 TPM 的情况下安全吗？

@qbqbqbqb 都上数字信号分析器了，把主板上的 CMOS RAM 拆了用编程器读一下也不是不可能

你要是怕数字密码（恢复密钥）被暴力破解，直接用 manage-bde 把它删了不就得了

别忘了 BitLocker 在支持硬件加密的情况下是直接交给硬件负责的，但有部分 SSD 的加密形同虚设，根本就不加密...

不敢用 TPM，要是 CPU 或者主板 TPM 挂了，资料就全完了

所谓的 bug 都是在你最意想不到的地方冒出来。不要小看这个看上去好像没啥的临时禁用操作，关键时刻是致命的。bug 都是以比千分之一万分之一还要小得多的机会才会触发，但遇到就没机会了

@nosugar #6 感谢您的建议，但目前是 Apple 全家桶用户，iCloud 还是有必要打开的。
@qbqbqbqb #2 没有找到相关的组策略项目，能否提供下路径？

TPM 在物理安全的情况下是可靠的，所以我司对存有敏感数据的主机都放在有保险设施的机房里，使用者只能使用远程桌面访问。局域网环境下与使用物理机体验几乎一致。

@theklf4 管理模板 /Windows 组件 /BitLocker 驱动器加密 /操作系统驱动器 /选择如何才能恢复受 BitLocker 保护的操作系统驱动器

@Greatshu 保存好恢复密钥就行

@dingwen07 #22 看了下 Microsoft 官方的 manage-bde 文档，没找到删除恢复密钥的方法呀。
@qbqbqbqb #28 这样配置后已经生成的恢复密钥是否仍然有效并可以用于第三方解锁工具呢？

@theklf4 #30 先列出所有 protectors，找到数字密码，可以看到你的回复密钥明文，然后删除对应 ID

楼主是不是对数字恢复密码的强度有什么误解。
那个数字恢复密码的长度是 48 位，一共有 10^48 种组合，大致相当于 160 Bit 密钥：log2(10^48) = 159.45
Bitlocker 的默认加密是 128 Bit AES 。那个数字密码的强度已经比 AES128 高 2^(160-128) = 42 亿倍了。攻击那个不如直接攻击 AES 。
对于 AES128 加密，你的密码最终会变成一个 128 Bit 的密钥。如果你的密码是大小写字母+数字组合（ 62 种字符），高于 22 位都没有意义了，因为 log(2^128, 62) = 21.49 。
在现有（以及可以预见的未来，量子计算机成为现实）以前，AES128 都不可能被暴力破解。