简介:
2025年,随着设备多样化与固件/系统安全机制的不断完善,为电脑、手机及其他数码设备设置开机密码已成为保护数据、阻止未授权访问的第一步。本文面向重视硬件质量、系统技巧与故障解决的用户,系统介绍如何在常见平台上设置开机/启动密码、结合磁盘加密与多因素认证(MFA)的实务建议,并通过场景与注意点提升可操作性与时效性。

工具原料:
系统版本:
- Windows 11(22H2 / 23H2 常见配置)
- macOS Sonoma(macOS 14)
- Android 14(多数 2023/2024 新机预装)
- iOS 17(iPhone 15 系列自带)
- 常见 Linux 发行版(Ubuntu 22.04 / 24.04 LTS、Fedora 39/40)
品牌型号:
- Dell XPS 13 Plus (2023 系列)
- Lenovo ThinkPad X1 Carbon Gen 11 (2023)
- HP Spectre x360 (2023/2024 机型)
- Apple iPhone 15 / MacBook Pro (近代苹果笔记本)
- Samsung Galaxy S24 (2024)
软件版本:
- BitLocker(Windows 内置)
- FileVault(macOS 内置)
- VeraCrypt(常用第三方卷加密,稳定版 1.25.x 系列)
- YubiKey / FIDO2 硬件密钥(用于 MFA)
1、两层含义:一是固件(UEFI/BIOS)层面的 Supervisor/Administrator 密码(真正阻断未授权更改启动顺序或从外部介质启动);二是磁盘解密或登录时的认证(BitLocker + PIN / Windows 登录密码 / Windows Hello)。
2、设置 UEFI 密码:重启按 F2/F12/Del(不同品牌键不同)进入 UEFI 设置,找到 Security → Set Supervisor/Administrator Password。设置后请记录好密码,否则将影响后续固件访问与维修。
3、开启 BitLocker 并强制启动时输入 PIN:控制面板 → BitLocker 驱动器加密 → “启用 BitLocker”,在配置过程中选择 TPM+PIN。若没有在向导中看到 PIN 选项,可打开“管理 BitLocker” -> “要求在启动时进行额外身份验证”并勾选“需要 PIN”。也可使用命令:manage-bde -protectors -add C: -TPMAndPIN,然后按提示设置 PIN。
4、Windows 登录保护:设置强密码或 Windows Hello(面部/指纹)作为日常快速解锁,保留 PIN/密码作为回退。启用 Microsoft 账号时务必开启账号的双因素认证。
5、场景举例:一位企业用户把 XPS 13 带回家,设置了 UEFI 管理员密码并启用了 BitLocker + PIN。窃贼即使拆下硬盘也无法在另一台机器上直接读取数据,且无法用 USB 启动绕过系统,极大降低数据泄露风险。
1、磁盘加密:macOS 使用 FileVault。前往 系统设置 → 隐私与安全性 → FileVault,开启并保存恢复密钥(或关联 iCloud)。FileVault 加密后,开机需输入账户密码才能解密启动磁盘。
2、固件/启动保护:Intel Mac 可在恢复模式下使用“Startup Security Utility”或固件密码工具设置固件密码,阻止通过外部介质启动。Apple Silicon(M 系列)架构下,固件密码的角色由系统安全策略、Activation Lock 与 iCloud 密钥管理部分替代;建议启用“查找”和 Apple ID 双因素认证。
3、案例说明:一台装有 macOS Sonoma 的 MacBook,如果只设置了系统登录密码但未开启 FileVault,别人可以通过恢复模式或外接硬盘绕过某些保护;因此 FileVault 更适合防止物理拆机后数据被直接读取的风险。
1、LUKS 全盘加密:在安装 Linux 时启用 LUKS/d